Как обезопаситься от etercap?

https?

удваиваю и напоминаю про sslstrip.

Провели эксперимент

Его можно было провести в уме, не особо напрягаясь. Причем для любого фреймворка результат был бы тот же. Внезапно.

Шифрование канала между пользователем и сервером. Или HTTPS, или туннели (в случае корпоративного сайта). И от неподписанного сертификата есть толк только в том случае, когда клиент вручную сверит отпечаток сертификата с отпечатком, полученным через защищённый от подмены канал (даже открытый).

https?

На ЛОРе же https нету, но оно не снифается.

На ЛОРе же https нету

Уже год как есть

И действительно есть. Видимо криокамера подтекла.

Но по сути https тоже не панацея.

«Супермегауниверсальногоспособа» нет, https вполне удовлетворяет указанному юзкейсу, не отдавать plaintext, а следить за тем какое соединение установилось - «проблемы утопающего».

Но по сути https тоже не панацея.

Тогда у меня есть знакомый торговец блестящими шапочками, защищают от снифа на 146%.

заморозить arp таблицу

стандартные джанговские/фласковые средства авторизации выпаливают

Напиши нестандартное.

Нафиг надо, если есть nginx+https

но оно не снифается.

С чего ты взял?

Вообще, если сайт для авторизации требует пароль, то он его получит в открытом виде, так как сайту потом с этим паролем работать. Можно, конечно, изобрести какое-нибудь шифрование на коленке через js, но это всё только для красоты.

https в этом треде уже упомянули достаточно раз.

Вообще, если сайт для авторизации требует пароль, то он его получит в открытом виде

Нет.

, так как сайту потом с этим паролем работать.

Зачем сайту «работать с паролем»?

Нет.

Хм, расскажи, как иначе?

Зачем сайту «работать с паролем»?

Например, прогнать его через sha1 и сравнить со значением в БД.

Хм, расскажи, как иначе?

А ты и сам знаешь ведь. Вот себя же почитай:

Например, прогнать его через sha1 и сравнить со значением в БД.

Например, прогнать его через sha1 и передать сайту, который сравнит его со значением в БД.

Ну так это всё равно, по сути, «открытый вид». То есть нет особой разницы, получает сайт в хэшированном виде пароль, или в открытом, так как по этой полученной строке происходит авторизация. Злоумышленник перехватывает некую строку, по которой потом может войти на сайт, а уж хэш там или нет - мелочи.

Слушающему трафик будет чуть-чуть сложнее сообразить, где именно передаётся пароль, но это решается.

Ну это не панацея, конечно.
Но если сервер при отдаче формы логина шлет уникальную соль для пароля, то сбор паролей уже не имеет смысла, и атакующий может лишь влезть в чужую сессию в реальном времени. Это усложняет ему жизнь и делает невозможной тактику «два месяца тихонько собирал пароли а потом разом всех накрыл».

Ну да, безопасность немного повысит. В принципе, в наше время можно уже и на стороне клиента более хитрое шифрование устраивать через js.

Всё равно оно https не отменяет, конечно.

Необходимо сделать два действия:

1) отказаться от django в пользу php + phalcon

2) настроить веб-сервер на работу по https

Скажи админам пусть купят и настроят нормальные свитчи. Тогда ничего снифаться не будет.

Неделя толстоты на ЛОРе? В какую тему не зайдёшь, всё едино: «Провели эксперимент... выпаливают пароль...», «на сайте забанят по MAC адресу...», «можно ли обойти блокировку по ip, запустив виртуалку...». Люто-бешенный фейспалм.

Даже если клиент сидит в макдаке через открытый вайфай?

Даже если клиент сидит в макдаке через открытый вайфай?

Да. Netgear 3500/3700 умеют предотвращать трафик между пользователями. Если пакеты крекать, то конечно ничто не спасет.

Использовать VPN. Задача серьезно усложнится. И кстати, у ettercap есть плагины, ищущий адаптеры в PROMISC-режиме и сам ettercap, называется find_ettercap и search_promisc

он полгода ждал твоего ответа :)