Опрос
Вы участвуете в программе Windows Insider?
Комментарии
Популярные новости
Обсуждаемые новости

2

Вопрос к администраторам сайта. Вернее два

Версия для печати
12
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

cybercop писал:

Lico писал:Тогда давайте сделаем аутентификацию по usb-токену например.

Предложение хорошее, но малоосуществимое


Зато например вот это предложение в Post #194405 вполне осуществимо думаю

#194405 arseny1992 :
Такие предложения:

1. Переименовать строку MSN messenger в профиле в - Windows Live ID
2. Добавить на сайт поддержку Windows Live - Windows Live Developer Center, Windows Live SDK и интерактивный ISDK к вашим услугам.


cybercop, если у вас имеется ещё инфа по данному предложению, можете поддержать. На сайте о Microsoft логично было бы использовать данную систему аутентификации, которая к тому же и безопасна (или вы, как STA, это опровергнёте?). Да, проблема открытых паролей должна быть решена, для тех кто предпочтёт логиниться по старому, или тех у кого нет Windows Live ID, но..

#198587   | 23.12.10 17:25
Не в сети
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

#198581 cybercop :
Есть проблема - хранение паролей в открытом виде.


Простите меня, но где Вы видите хранение паролей в открытом виде? В базе хранится md5 хэш от пароля, по нему же и сверяется. Передача пароля происходит методом POST запроса, поэтому в логах прокси сервера он не останется. От трояна даже https шифрация не спасет. Остается только man-in-middle. Но, имхо, если уж используется эта атака, то тут и https шифрация не спасет, т.к. будут перехвачены пароли от других 100500 сайтов, и с 95% вероятностью один из этих паролей и подойдет к зевисте.

#198584 arseny1992 :
Хорошо, вот кто нибудь зайдёт под вашим логином, и сотрёт все темы во всех разделах которые вы ведёте. Думаю это никому не понравится.


Это сугубо индивидуальная проблема, решающаяся снятием всех прав, поливанием помоев на форуме, а также восстановлением тем из бекапа, которые, я надеюсь, теперь делаются часто.
Или же следует ввести удалением тем через с подтверждением через "звонок админу"?

Количество мер для безопасности и ее сложность должны всегда отталкиваться от ценности защищаемой информации.

#198589   | 23.12.10 17:55
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

Lico писал:где Вы видите хранение паролей в открытом виде? В базе хранится md5 хэш от пароля, по нему же и сверяется. Передача пароля происходит методом POST запроса, поэтому в логах прокси сервера он не останется.


IE9? Выйдите с сайта, затем перейдите на страницу входа. Нажмите F12, перейдите на вкладку Network окна F12 Developer Tools. Нажмите Start Capturing. Войдите на сайт, и пока не сработало перенаправление со страницы сообщения #104 сайта, нажмите Export Capturing Traffic левее Stop Capturing, потом остановите захват. Проанализируйте получившийся XML-файл на предмет открытого наличия в нём вашего пароля.

Найдёте вот такое:

application/x-www-form-urlencoded
rusername=user&rpassword=password


и

msg
104

redirect
redirhash=
rusername=user&rpassword=password&x=GUEST


Lico писал:сделать хэширование пароля на клиенте и пересылку можно

#198591   | 23.12.10 18:32
Не в сети
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

arseny1992, хоспади, как в ИЕ всё сложно. файрбаг:


Эти данные улетают через POST, как и 99,9% передаваемых данных, в т.ч. приложенные файлы, вот этот конкретный пост и так далее.
Но в логах прокси они не светятся, там светится только GET-часть:

POST /users.php?m=auth&a=check&redirect=Lw== HTTP/1.1
Host: www.thevista.ru
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: users.php?m=auth&redirect=Lw==
Cookie: __utma=...


А сохраняется только host и POST /users.php?m=auth&a=check&redirect=Lw== HTTP/1.1

Ну и например апач хранит логи в таком виде:
79.174.79.148 - - [23/Dec/2010:01:38:01 +0300] "GET /user_info.php?log=LinX HTTP/1.0" 200 26636 "-" "-"
79.174.79.148 - - [23/Dec/2010:01:38:03 +0300] "GET /user_info.php?log=An-Dron HTTP/1.0" 200 32098 "-" "-"
79.174.79.148 - - [23/Dec/2010:01:38:04 +0300] "GET /user_info.php?log=Werdnal HTTP/1.0" 200 37882 "-" "-"
79.174.79.148 - - [23/Dec/2010:01:38:04 +0300] "GET /user_info.php?log=Wisdom HTTP/1.0" 200 20709 "-" "-"
79.174.79.148 - - [23/Dec/2010:01:38:04 +0300] "GET /user_info.php?log=.%EA%EB%E0%F1%F1%E8%EA HTTP/1.0" 200 33556 "-" "-"
188.93.63.152 - - [23/Dec/2010:03:24:10 +0300] "GET /user_info.php?log=OBLOMOZAVOR HTTP/1.0" 200 19880 "-" "-"
188.93.63.152 - - [23/Dec/2010:05:29:58 +0300] "GET /user_info.php?log=LinX HTTP/1.0" 200 26636 "-" "-"
188.93.63.152 - - [23/Dec/2010:05:30:02 +0300] "GET /user_info.php?log=LiL+FiNG HTTP/1.0" 200 19400 "-" "-"
188.93.63.152 - - [23/Dec/2010:05:30:03 +0300] "GET /user_info.php?log=kondition HTTP/1.0" 200 31587 "-" "-"
188.93.63.152 - - [23/Dec/2010:05:30:04 +0300] "GET /user_info.php?log=Sinnery HTTP/1.0" 200 35515 "-" "-"
188.93.63.152 - - [23/Dec/2010:05:30:04 +0300] "GET /user_info.php?log=BaDFeLLa HTTP/1.0" 200 20371 "-" "-"
188.93.63.152 - - [23/Dec/2010:05:30:05 +0300] "GET /user_info.php?log=belbiu HTTP/1.0" 200 22734 "-" "-"
188.93.63.152 - - [23/Dec/2010:06:15:36 +0300] "GET /user_info.php?log=Snieguole HTTP/1.0" 200 33787 "-" "-"
188.93.63.152 - - [23/Dec/2010:09:47:05 +0300] "POST /locator.php HTTP/1.0" 200 31774 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
188.93.63.152 - - [23/Dec/2010:10:05:35 +0300] "GET /user_info.php?log=Soul+Reaver666 HTTP/1.0" 200 34242 "-" "-"
188.93.63.152 - - [23/Dec/2010:12:26:35 +0300] "GET /user_info.php?log=-%CF%D1%C8%D5 HTTP/1.0" 200 21099 "-" "-"
188.93.63.152 - - [23/Dec/2010:13:09:28 +0300] "POST /locator.php HTTP/1.0" 200 85093 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
188.93.63.152 - - [23/Dec/2010:13:14:52 +0300] "GET /user_info.php?log=Vieri HTTP/1.0" 200 1015 "-" "-"


#198591 arseny1992 :
[сделать хэширование пароля на клиенте и пересылку можно


Ну и что, перехвачу я этот хэш и при авторизации буду вместо пароля подставлять хэш и также спокойно авторизовываться. Единственный вариант - https, там трафик расшифрован только на клиенте и на сервере. Хотя в новом Forefront TMG реализована хитрая "фича", которая, скажем так, "расшифровывает" этот трафик на шлюзе.

#198592   | 23.12.10 18:44
Не в сети
Сообщений: 47
Благодарностей: 1
Предупреждений:
Из:
Род занятий:

Вам показать какое письмо вы отправляете пользователю после регистрации? Там (в письме) пароль и логин открытым текстом. Я же говорю что не стоит его так хранить. Ведь раз письмо формируется автоматом, значит откуда-то пароль берется, верно?

#198599   | 23.12.10 19:57
Не в сети
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

cybercop, он и не хранится.
На этапе регистрации:

$password=$_POST['password'];
mail($_POST['mail'],'welcome','welcome...'.$password.'blabla');
$password=md5($password);
mysql_query('insert into users values (...,'.$password.',...');


На этапе авторизации:

$login=$_POST['login'];
$password=md5($_POST['password']);
$sql=mysql_query('select * from users where login="'.mysql_real_escape_string($login).'" and password="'.mysql_real_escape_string($password).'"');
if(mysql_num_rows($sql)>0) echo 'Welcome, user';
else echo 'Unknown user or password';


Код 99,9% сайтов аналогичен этому концепту.

#198608   | 23.12.10 20:41
Не в сети
Сообщений: 47
Благодарностей: 1
Предупреждений:
Из:
Род занятий:

Lico, при всем уважении к вам всем. Мы с вами говорим о разных вещах.
1. Я не знаю как он хранится. Верю вам на слово.
2. Я зарегистрирован сегодня. В ответ на регистрацию мне пришло письмо в котором открытым текстом указан мой пароль и логин.
Обратите внимание на то, о чем я вам писал вначале

cybercop писал:1. Пересылать пароли в открытом виде как минимум не хорошо. Вам это никто не говорил?


Ведь нигде я не сказал о том как оно у вас хранится, верно? Я обратил ваше внимание на то что ПЕРЕСЫЛАТЬ ПАРОЛЬ ОТКРЫТЫМ ТЕКСТОМ НЕЛЬЗЯ
А как хранится - вам виднее. Если хранится хеш - хорошо. В таком случае вам же проще - удалите пересылку пароля открытым текстом и все. Более того, почему у вас в тексте пароля должны быть только (цитирую) БУКВЫ, ЦИФРЫ, ЗНАК ПОДЧЕРКИВАНИЯ. А другие символы?
Поймите правильно, я хочу чтобы было так как нужно. Если вы считаете что на данном этапе развития портала этим (другими символами) можно пренебречь, то это ваше право.
Однако повторю еще раз. пересылать пароли открытым текстом нельзя!
Попробовал восстановить пароль. Здесь все правильно. Новый пароль (установленный взамен утраченного) не присылается совсем. Уж лучше так

#198616   | 23.12.10 21:31
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.033 секунд (Общее время SQL: 0.015 секунд - SQL запросов: 95 - Среднее время SQL: 0.00016 секунд))
Top.Mail.Ru