Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Философ, Вы писали: Ф>>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>03.09.2010 мну писал разработчикам систем парольной аутентификации
: Ф>>Про гуид в качестве идентификатора сессии там написано неубедительно. Ф>>Использовал, использую и буду использовать.
KV>Дай ссылку на сайт, где ты это используешь.
нету в публичном доступе ничего, и это не сайт, а WindowsForms
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Философ, Вы писали:
Ф>>нету в публичном доступе ничего, и это не сайт, а WindowsForms
KV>А приложение-то хоть сетевое?
трёхзвенка.
ms sql <---> cash+logic <--xml--> формочки
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Философ, Вы писали:
Ф>>трёхзвенка. Ф>>ms sql <---> cash+logic <--xml--> формочки
KV>Ок, а если пользователь узнает сессионный токен другого пользователя, то он сможет аутентифицироваться под ним?
Да, может.
Т.е. даже не аутентифицироваться, а действовать от имени другого пользователя до закрытия сессии.
И я не вижу тут ничего плохого — с таким же успехом он может узнать логин и пароль.
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Философ, Вы писали:
Ф>>И я не вижу тут ничего плохого — с таким же успехом он может узнать логин и пароль.
KV>Из чего я делаю вывод, что канал по которому ходят учетные данные и токены — не шифруются?
именно так.
это не Интеренет, если очень надо будет — сделают VPN, или ещё чего-нибудь.
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, Философ, Вы писали:
KV>>Из чего я делаю вывод, что канал по которому ходят учетные данные и токены — не шифруются?
Ф>именно так. Ф>это не Интеренет, если очень надо будет — сделают VPN, или ещё чего-нибудь.
А количество попыток аутентификации с неправильными учетными данными или использования невалидных сессионных токенов как-то ограничивается?
Здравствуйте, kochetkov.vladimir, Вы писали:
Ф>>это не Интеренет, если очень надо будет — сделают VPN, или ещё чего-нибудь.
KV>А количество попыток аутентификации с неправильными учетными данными или использования невалидных сессионных токенов как-то ограничивается?
нет.
Вы намекаете, что пользователь (потенциальный хакер) будет гуиды перебирать?
Не проще ли логины и пароли перебирать?
Попробуйте посчитать вероятность попасть на привилегированного пользователя, если обычных пользователей ~100, и привилегированных всего 3.
О таких мелочах вообще стоит думать?
Гораздо больший геморой создают сами пользователи, т.е. самые обычные люди.
Именно они способны добавить в БД такие записи, как:
Каснодар, Крсанодар, Красодар....
восемь тысяч раз неправильно индекс заколотить,
перепутать нор квартиры с номером дома и т.д.
Именно из-за них, например любое редактирование адресного рееста стало привелигированной операцией — потом в отчётах строчек недосчитываются.
ИС, она от дурака защищает, а не от хакера — нагадить можно значительно проще, вообще без хакинга.
Если вас авторизировали — большая часть инфомации у вас уже есть.
И, будь я хакером — ломать бы стал девочку, которая суммы в БД заколачивает, слабое звено она, а не гуиды.
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, Философ, Вы писали:
Ф>Вы намекаете, что пользователь (потенциальный хакер) будет гуиды перебирать? Ф>Не проще ли логины и пароли перебирать?
Да нет, я так — для полноты картины поинтересовался. В данном случае проще и быстрее организовать активный или даже пассивный мониторинг трафика в сетке и поймать все учетные данные вообще не являясь пользователем этой системы
Ф>Попробуйте посчитать вероятность попасть на привилегированного пользователя, если обычных пользователей ~100, и привилегированных всего 3. Ф>О таких мелочах вообще стоит думать?
Это должны решать заказчики системы, а не разработчики. Разработчики вообще не должны быть допущены к принятию каких-либо решений относительно безопасности тех продуктов, которые они разрабатывают. Это не их зона ответственности и не их компетенция.
Ф>Гораздо больший геморой создают сами пользователи, т.е. самые обычные люди. Ф>Именно они способны добавить в БД такие записи, как: Ф>Каснодар, Крсанодар, Красодар.... Ф>восемь тысяч раз неправильно индекс заколотить, Ф>перепутать нор квартиры с номером дома и т.д.
Только к безопасности все перечисленное не имеет никакого отношения, поэтому лично мне это неинтересно
Ф>Именно из-за них, например любое редактирование адресного рееста стало привелигированной операцией — потом в отчётах строчек недосчитываются. Ф>ИС, она от дурака защищает, а не от хакера — нагадить можно значительно проще, вообще без хакинга.
С выделенным в корне не согласен. Ок, что тогда должно защищать ИС от хакера?
Ф>Если вас авторизировали — большая часть инфомации у вас уже есть.
Этого не требуется (см. начало сообщения).
Ф>И, будь я хакером — ломать бы стал девочку, которая суммы в БД заколачивает, слабое звено она, а не гуиды.
Я бы тоже предпочел девочку , но в данном случае, слабым звеном является не она.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Разработчики вообще не должны быть допущены к принятию каких-либо решений относительно безопасности тех продуктов, которые они разрабатывают.
... в идеальном мире с феями, эльфами и бабочками, к сожалению
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Философ, Вы писали:
KV>проще и быстрее организовать активный или даже пассивный мониторинг трафика в сетке
это вообще возможно?
Ф>>ИС, она от дурака защищает, а не от хакера — нагадить можно значительно проще, вообще без хакинга. KV>С выделенным в корне не согласен. Ок, что тогда должно защищать ИС от хакера?
Другая ИС, возможно ИС, которая порядком/рангом выше.
Например, свитчи вместо хабов и шифрование трафика.
KV>Я бы тоже предпочел девочку , но в данном случае, слабым звеном является не она.
ээ... нет, вероятнее всего именно с её компа, возможно даже без её ведома скорее всего утекут данные.
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, Kana, Вы писали: K>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Используйте в качестве идентификаторов GUID K> А не могли бы вы более подробно объяснить, чем плох GUID в качестве идентификатора сессии? Честно, даже идей нет.
В зависимости от используемой версии UUID и ее конкретной реализации, атакующий, имея на руках относительно небольшое количество сгенерированных UUID'ов, может предугадать всю остальную последовательность и подобрать валидное значение сессионного токена за приемлемое время. По виндовой старой реализации была статья прямо здесь: http://www.rsdn.ru/article/Crypto/UuidCrypto.xml
Здравствуйте, Kana, Вы писали:
K> А не могли бы вы более подробно объяснить, чем плох GUID в качестве идентификатора сессии? Честно, даже идей нет.
В некоторых, особо кривых от MS и старых системах, генерация GUID не криптографически стойкая — по нескольким гуидам можно угадать соседние. А дальше уже паранойя безопасников грести всё под одну гребёнку.
это если говорить о топологии "свитчи вместо хабов", т.к. с хабами все достаточно тривиально.
Ф>Другая ИС, возможно ИС, которая порядком/рангом выше. Ф>Например, свитчи вместо хабов и шифрование трафика.
Шифрование не спасет от подбора паролей или угадывания UUID'ов. Свитчи не спасут от MiTM-атак.
KV>>Я бы тоже предпочел девочку , но в данном случае, слабым звеном является не она. Ф>ээ... нет, вероятнее всего именно с её компа, возможно даже без её ведома скорее всего утекут данные.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Философ, Вы писали:
KV>>>проще и быстрее организовать активный или даже пассивный мониторинг трафика в сетке Ф>>это вообще возможно?
KV>>>Я бы тоже предпочел девочку , но в данном случае, слабым звеном является не она. Ф>>ээ... нет, вероятнее всего именно с её компа, возможно даже без её ведома скорее всего утекут данные.
KV>Каким образом и по какому каналу?
По тем же, по которым планируется организовывать мониторинг трафика.
Если мониторинг оказывается возможным, значит внутри сети возможна работа левого софта. Например, можно ей дать возможность пользоваться её любимыми одноКАЛсниками: дать спец. прогу или новоиспечённый "анонимайзер".
Если в сети невозможна работа левых программ, доступ в Интернет перекрыт, съёмные носители запрещены, везде стоят антивирусы с включенной проактивной защитой, что или кого атаковывать?
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>> Атакующий, имея на руках относительно небольшое количество сгенерированных UUID'ов, может предугадать всю остальную последовательность и подобрать валидное значение сессионного токена за приемлемое время. По виндовой старой реализации была статья прямо здесь: http://www.rsdn.ru/article/Crypto/UuidCrypto.xml
, но в данном случае, слабым звеном является не она.
