LINUX.ORG.RU

Провели эксперимент

Его можно было провести в уме, не особо напрягаясь. Причем для любого фреймворка результат был бы тот же. Внезапно.

anonymous
()

Шифрование канала между пользователем и сервером. Или HTTPS, или туннели (в случае корпоративного сайта). И от неподписанного сертификата есть толк только в том случае, когда клиент вручную сверит отпечаток сертификата с отпечатком, полученным через защищённый от подмены канал (даже открытый).

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Siado

«Супермегауниверсальногоспособа» нет, https вполне удовлетворяет указанному юзкейсу, не отдавать plaintext, а следить за тем какое соединение установилось - «проблемы утопающего».

Linuxman
()
Ответ на: комментарий от Siado

Но по сути https тоже не панацея.

Тогда у меня есть знакомый торговец блестящими шапочками, защищают от снифа на 146%.

anonymous
()

заморозить arp таблицу

flant ★★★★
()

стандартные джанговские/фласковые средства авторизации выпаливают

Напиши нестандартное.

thesis ★★★★★
()
Ответ на: комментарий от Siado

но оно не снифается.

С чего ты взял?

Вообще, если сайт для авторизации требует пароль, то он его получит в открытом виде, так как сайту потом с этим паролем работать. Можно, конечно, изобрести какое-нибудь шифрование на коленке через js, но это всё только для красоты.

risenshnobel ★★★
()
Ответ на: комментарий от Siado

https в этом треде уже упомянули достаточно раз.

thesis ★★★★★
()
Ответ на: комментарий от risenshnobel

Вообще, если сайт для авторизации требует пароль, то он его получит в открытом виде

Нет.

, так как сайту потом с этим паролем работать.

Зачем сайту «работать с паролем»?

thesis ★★★★★
()
Ответ на: комментарий от thesis

Нет.

Хм, расскажи, как иначе?

Зачем сайту «работать с паролем»?

Например, прогнать его через sha1 и сравнить со значением в БД.

risenshnobel ★★★
()
Ответ на: комментарий от risenshnobel

Хм, расскажи, как иначе?

А ты и сам знаешь ведь. Вот себя же почитай:

Например, прогнать его через sha1 и сравнить со значением в БД.

Например, прогнать его через sha1 и передать сайту, который сравнит его со значением в БД.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Ну так это всё равно, по сути, «открытый вид». То есть нет особой разницы, получает сайт в хэшированном виде пароль, или в открытом, так как по этой полученной строке происходит авторизация. Злоумышленник перехватывает некую строку, по которой потом может войти на сайт, а уж хэш там или нет - мелочи.

Слушающему трафик будет чуть-чуть сложнее сообразить, где именно передаётся пароль, но это решается.

risenshnobel ★★★
()
Ответ на: комментарий от risenshnobel

Ну это не панацея, конечно.
Но если сервер при отдаче формы логина шлет уникальную соль для пароля, то сбор паролей уже не имеет смысла, и атакующий может лишь влезть в чужую сессию в реальном времени. Это усложняет ему жизнь и делает невозможной тактику «два месяца тихонько собирал пароли а потом разом всех накрыл».

thesis ★★★★★
()
Ответ на: комментарий от thesis

Ну да, безопасность немного повысит. В принципе, в наше время можно уже и на стороне клиента более хитрое шифрование устраивать через js.

Всё равно оно https не отменяет, конечно.

risenshnobel ★★★
()

Необходимо сделать два действия:

1) отказаться от django в пользу php + phalcon

2) настроить веб-сервер на работу по https

heisenberg ★★
()
Последнее исправление: heisenberg (всего исправлений: 1)

Скажи админам пусть купят и настроят нормальные свитчи. Тогда ничего снифаться не будет.

gh0stwizard ★★★★★
()

Неделя толстоты на ЛОРе? В какую тему не зайдёшь, всё едино: «Провели эксперимент... выпаливают пароль...», «на сайте забанят по MAC адресу...», «можно ли обойти блокировку по ip, запустив виртуалку...». Люто-бешенный фейспалм.

Sense
()
Ответ на: комментарий от goingUp

Даже если клиент сидит в макдаке через открытый вайфай?

Да. Netgear 3500/3700 умеют предотвращать трафик между пользователями. Если пакеты крекать, то конечно ничто не спасет.

gh0stwizard ★★★★★
()
5 марта 2014 г.
Ответ на: комментарий от gh0stwizard

Использовать VPN. Задача серьезно усложнится. И кстати, у ettercap есть плагины, ищущий адаптеры в PROMISC-режиме и сам ettercap, называется find_ettercap и search_promisc

hex_mgn
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.