 Автор |
Сообщение |
AlexRock
Гуру
 |
|
| Вот тут, например, пре регистрации пароль на сервер в открытом виде отсылается, прямо как пользователь ввёл, или как? Начиная с какого момента данные шифруются или вычисляется хеш - уже на клиенте или только на сервере? |
|
 |
|
 |
sham
ум, честь, совесть эпохи!
 Предупреждений : 4
|
|
| delПоследний раз редактировалось: sham (Ср 23-03-22 : 02-50), всего редактировалось 1 раз |
|
| |
|
|
AlexRock
Гуру
|
|
| sham писал(а): |
| По незашифрованному соединению именно так |
Ну я тут не вижу зашифрованных соединений - никаких сертификатов не предлагается установить и всё такое. Т. е. получается, что легко можно перехватить пароль при регистрации и каждом залогинивании?
| sham писал(а): |
| ну ты сам подумай, зачем нужна была вся это система, вычисляйся он у клиента? |
А чтобы перехват ничего не давал. Клиент вводит пароль, тут же вычисляется его хеш и передаётся на сервер уже сам хеш, а введённый пароль стирается из памяти. Теперь только клиент его помнит. При т. н. "восстановлении пароля" старый, естественно, не восстанавливается, а просто предлагается пользователю новый, сгенерированный сервером (не знаю, как его защитить при передаче от сервера к клиенту - это уже другой вопрос).
Вобщем, я только хотел узнать, как на подобных форумах обычно это дело делается.
А что, на крупных порталах, где учётные данных очень важны и их потеря может повлечь большие непрятности, тоже такая же схема - в открытую передают конфиденциальную информацию? Ведь мало где требуют при регистрации установить сертификат. ЖЖ, модный Гугл со своими сервисами, Ютуб и прочие - всё в открытую? |
|
| |
|
|
AlexRock
Гуру
|
|
| Тогда напомните ещё, в чём суть была (когда тут Алекском и Вуди ещё свои пароли в подписях писали), когда Сибнет "хранил пароли в незашифрованном виде" или что-то в этом роде. Где хранил? В чём суть? |
|
| |
|
|
sham
ум, честь, совесть эпохи!
Предупреждений : 4
|
|
| delПоследний раз редактировалось: sham (Ср 23-03-22 : 02-50), всего редактировалось 1 раз |
|
| |
|
|
AlexRock
Гуру
|
|
| sham писал(а): |
| Для этого шифрование есть. У гугла точно |
Каким образом оно происходит у Гугла? Я сейчас почту зарегал в Гмейл, так мне никаких сертификатов не дали. У Оперы что, свои средства шифрования есть, о которых знает Гугл, чтобы расшифровать? Или они тот пароль, что я ввёл, в открытую передали?
Я просто хочу узнать, как на подобных сайтах решается этот вопрос. Или никак не решается - всё в открытую передаётся что при регистрации, что при залогинивании? Типа, для таких случаев никто с шифрованием заморачиваться не будет? |
|
| |
|
|
sham
ум, честь, совесть эпохи!
Предупреждений : 4
|
|
| delПоследний раз редактировалось: sham (Ср 23-03-22 : 02-50), всего редактировалось 1 раз |
|
| |
|
|
Arkan
Гуру
 |
|
у гугла сертификат повидимому как то в фоне прилетает
сегодня тоже кстати на gmail сделал мыло и ни каких вопросов о принятии сертификата небыло
а само соединение
 |
|
| |
|
|
myharmony
Эксперт
 |
|
| Arkan писал(а): |
у гугла сертификат повидимому как то в фоне прилетает
сегодня тоже кстати на gmail сделал мыло и ни каких вопросов о принятии сертификата небыло
а само соединение
|
у меня maxthon также показывает и на страничку adslclub, что соединение безопасное |
|
| |
|
|
AlexRock
Гуру
|
|
| Arkan писал(а): |
| у гугла сертификат повидимому как то в фоне прилетает |
Почистил куки в Опере и перестал меня запоминать этот Гмейл.
Это-то понятно, что можно в куки ключи для шифрования затолкать. Но при первом-то соединении, когда пароль передаётся при залогинивании или при регистрации - кто будет это шифровать? Как узнать, шифруют они эту первую передачу или нет, и если да, то как? |
|
| |
|
|
alexcom
Медвед-шатун
 Предупреждений : 2
|
|
| AlexRock писал(а): |
| когда Сибнет "хранил пароли в незашифрованном виде" или что-то в этом роде. Где хранил? В чём суть? |
суть в том, что Сибнет хранил(может и до сих пор хранит) у себя в базе данных пароли не шифрованые.
тоесть ты ввёл пароль "qwerty", так он в базу и записался как "qwerty", а не md5 хэш "d8578edf8458ce06fbc5bb76a58c5ca4".
использование хэша затрудняет узнавание исходного значения пароля.
чем опасен нешифрованый пароль?
имеем внутри сибнета зосранчега, который скачал себе базу данных (или злобный хакер её увёл) и начал подбирать пароли от учётной записи на сибнете к учётной записи указаного мыла или аськи.
можно некисло поживиться, многие используют на разных сайтах одинаковые пароли.
ps:движок phpBB (на коем и работает этот форум) пароли шыфрует |
|
| |
|
|
ProFfeSsoRr
Гуру
 |
|
| Цитата: |
у гугла сертификат повидимому как то в фоне прилетает |
ну он доверенным центром подписан видимо, поэтому и в фоне. |
|
| |
|
|
AlexRock
Гуру
|
|
| alexcom писал(а): |
| ps:движок phpBB (на коем и работает этот форум) пароли шыфрует |
Т. е. при залогинивании или регистрации на сервер отправляется уже зашифрованный пароль? Т. е. шифрование идёт только теми стредствами, что мне ваш движок ПХПшный успел загрузить на странице? Ибо какими ещё ресурсами он может зашифровать пароль - где сам алгоритм, функции, библиотеки, шифрующий код находятся, если не на странице залогинивания/регистрации? |
|
| |
|
|
alexcom
Медвед-шатун
Предупреждений : 2
|
|
| AlexRock писал(а): |
| Т. е. при залогинивании или регистрации на сервер отправляется уже зашифрованный пароль? |
тока что тыкнул снифером, к сожалению нет, логин и пароль идут открытым текстом:
| Код: |
POST /forum/login HTTP/1.1
Host: www.adslclub.ru
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Referer: http://www.adslclub.ru/forum/login?sid=хххххххххххххххх
Cookie: __utma=ххххххххххххххххххххххххххххххххххх
Content-Type: application/x-www-form-urlencoded
Content-Length: 64
username=alexcom&password=ххххххххххххх&redirect=&login=ххххххххххххххх |
передаётся открыто, а храниться шифровано.... |
|
| |
|
|
alexcom
Медвед-шатун
Предупреждений : 2
|
|
| как прекрасно: ставим снифер между сетью стк и интернетом, ловим кучу лулзов и паролей... |
|
| |
|
|
AlexRock
Гуру
|
|
| ProFfeSsoRr писал(а): |
| ну он доверенным центром подписан видимо, поэтому и в фоне. |
Я пошарился в списке сертификатов в Опере - нигде ничего с названием Google нету. Верисайны всякие есть, а Гугла нету. Да и зачем сертификаты, в самом деле, когда можно открытые ключи просто в куки хранить? Тем более, что для работы с сертификатами в каждой ОС, как я понимаю, нужно свой код писать (у каждой ОС же своё хранилище сертификатов), а с куками все браузеры под всеми ОС однообразно работают. |
|
| |
|
|
AlexRock
Гуру
|
|
| alexcom писал(а): |
| username=alexcom&password=ххххххххххххх&redirect=&login=ххххххххххххххх |
Это ты сам "закрасил"? На самом деле там реальные логин и пароль? |
|
| |
|
|
AlexRock
Гуру
|
|
Вот у вас инпут элемент на входе:
| Код: |
<input type="submit" name="login" class="mainoption" value="Вход" /> |
Он же ничего не шифрует - в HTML такой функциональности просто не предусмотрено, да и скриптов на странице никаких шифрующих нету? |
|
| |
|
|
AlexRock
Гуру
|
|
Ладно, понятно, что всё открыто фактически, и всякие нюхатели трафика могут всё узнать и фактически всё это шифрованное соединение, которое, возможно, после залогинивания устанавливается, уже нафиг не нужно.
Тогда вопрос, как этого избежать? Как сделать так, чтобы при самой первой передаче - при залогинивании и регистрации - данные от пользователя - его логин, пароль и пр. - передавались уже зашифрованными? Нужно, чтобы сама ОС или браузер предоставили средства для шифрования данных хотя бы при первой передаче, чтобы уже потом сервер с клиентом и клиент с сервером обменялись паролями, ключами и пр. Если бы я делал сайт под конкретную ОС, конкретный браузер, на конкретном фреймворке, то мог бы, наверное, встроить такую функциональность. Но есть ли такая функциональность, поддерживаемая на уровне всех браузеров, всех ОС, есть какой-то стандарт, которому должны они отвечать, чтобы сделать безопасным и сам процесс залогинивания/регистрации?
// делать POST на https и всё, как у гугла, яндекса и т.п.
// только SSL сертификат стоит денег (самоподписной вызовет ругань браузера), выделенного хоста (shared хостинг не катит) да и возни настраивать это всё |
|
| |
|
|
sog
Гуру
 |
|
| alexcom писал(а): |
| суть в том, что Сибнет хранил(может и до сих пор хранит) у себя в базе данных пароли не шифрованые. |
Там же у них админы на зарплате, да ? Они, наверное, с IPB разобраться не могут.
| Цитата: |
только SSL сертификат стоит денег (самоподписной вызовет ругань браузера) |
А я себе для доступа на личный сервак выписал сертификат. Ну и пушай ругаетсО  |
|
| |
|
|
|
Аватары: Вкл|Выкл ЮзерИнфо: Вкл|Выкл Подписи: Вкл|Выкл
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы
|
|
