Jay Kay Posted February 7, 2012 Report Share Posted February 7, 2012 (edited) nav jau noslēpums, ka paroles DB jāglabā hešotā veidā, taču kāda no tā jēga, ja parole pa ceļam tiek pārtverta. pamēģināju mājas tīklā un arī izdevās ar Cain'u nokapčurot no cita datora sūtītu draugiem.lv lietotājvārdu ar visu paroli, jo draugiem.lv login lapa ir HTTP bez SSL enkripšona. laikam ir tikai kkāda https://secure.draugiem.lv kas apstrādā datus. ja login lapa ir plain HTTP savienojums, tad es būtu kriptējis paroli ar JavaScript pirms nosūtīšanas uz serveri. jautājums gluži loģisks - vai viņiem pilnīgi po*** par lietotājiem vai arī es neredzu to kā šajā gadījumā drošība tiek nodrošināta? [EDIT]P.S. pie reizes varbūt kāds pastāstīs: mūsu forumam ir jauna IPBoard versija, taču vai tas ir iemesls, kādēļ es nevaru atrast savus postus, kurus vēl vecajā versijā postoju? Edited February 7, 2012 by Jay Kay Quote Link to comment Share on other sites More sharing options...
codez Posted February 7, 2012 Report Share Posted February 7, 2012 1)Šāda veida pārtveršānu tu vari veikt tikai lokālā tīklā. 2)paroli var sahešot vienreiz klienta pusē un tad vēl otreiz servera pusē. Tad pat pārtveros paroles 1. hešu, īsto paroles tekstu neuzzināsi. 3)Paroles glabā heošotā veidā tāpēc, lai db iegūšanas gadījuma, nebūtu pieejams liels skaits lietotāju paroļu un e-pastu, kuru kombinācija var tālāk konfrontēt arī e-pastus un citu servisu autorizācijas. Quote Link to comment Share on other sites More sharing options...
Jay Kay Posted February 7, 2012 Author Report Share Posted February 7, 2012 1)Šāda veida pārtveršānu tu vari veikt tikai lokālā tīklā. 2)paroli var sahešot vienreiz klienta pusē un tad vēl otreiz servera pusē. Tad pat pārtveros paroles 1. hešu, īsto paroles tekstu neuzzināsi. 3)Paroles glabā heošotā veidā tāpēc, lai db iegūšanas gadījuma, nebūtu pieejams liels skaits lietotāju paroļu un e-pastu, kuru kombinācija var tālāk konfrontēt arī e-pastus un citu servisu autorizācijas. paldies, ka centies un atbildēji uz visiem maniem retoriskajiem jautājumiem:D:D jautājums paliek atklāts - kādēļ draugiem.lv nenodrošina drošu loginu? piemēram, es pieslēdzos kādam publiskam WiFi access pointam un bezmazvai zogu paroles cik gribu! kādēļ draugiem.lv nenodrošina HTTPS loginu vai arī nehešo paroles klienta pusē pirms nosūtīšanas un serveri? vai tas man viņiem būtu jājautā? Quote Link to comment Share on other sites More sharing options...
Kavacky Posted February 7, 2012 Report Share Posted February 7, 2012 Nu a kas liek būt idiotam un publiskā, neaizsargātā WiFi līst kaut kādā neaizsargātā vietā? Banka vainīga, ka tu ar 500 Ls banknošu žūksni rokā vazājies pa Maskačku? Quote Link to comment Share on other sites More sharing options...
codez Posted February 7, 2012 Report Share Posted February 7, 2012 jautājums paliek atklāts - kādēļ draugiem.lv nenodrošina drošu loginu? piemēram, es pieslēdzos kādam publiskam WiFi access pointam un bezmazvai zogu paroles cik gribu! kādēļ draugiem.lv nenodrošina HTTPS loginu vai arī nehešo paroles klienta pusē pirms nosūtīšanas un serveri? vai tas man viņiem būtu jājautā? Facebook jau arī nendrošina doršu loginu. Es uztaisu tārpu, kurš spiego paroles un izplatās caur epastiem, skype un datu nesējiem un lasu visiem paroles. Nesaprotu, kāpēc gan Facebook neizmanto piespraužamas USB atslēgas, kuras pasargā pret šādu paroļu zagšanu? Bet par to, ka tev izdevās dabūt paroli, man šķiet, ka tu pamatīgi dirs, jo draugiem posto login formu caur https: <form action="https://secure.draugiem.lv/login/" name="login" method="post"> Quote Link to comment Share on other sites More sharing options...
yancho Posted February 7, 2012 Report Share Posted February 7, 2012 (edited) Paroļu hešošana ar JS klienta pusē ir kaķim zem astes. Uztaisīšu viltotu login lapu, bez taviem JS vipedroniem, tad, piemēram, saindēšu DNS, vai kā savādāk novirzišu tevi uz viltoto lapu un paroles rokā. HTTPS ir gandrīz vai vienīgais variants kā var pārliecināties, ka lapa kuru redzi ir tā kuru gribēji atvērt. Edited February 7, 2012 by yancho Quote Link to comment Share on other sites More sharing options...
e-remit Posted February 7, 2012 Report Share Posted February 7, 2012 Šāda hešošana klienta pusē ir tikai drošuma ilūzija. Ja jau uzbrucējs ir tik gudrs, lai snifotu tīklu, tad nekas viņam netraucēs izmantot tevis nosūtīto hashu. Protams, var jau mēģināt arī katru reizi no servera kādu sāli aizsūtīt, lai šis hash vēlāk nebūtu derīgs, tas palīdzēs gadījumiem, ja pieprasījumi tiek logoti vēlākai izpētei. Bet tas nekādi nepalīdzēs, ja hakeris reāli sēž uz trafika - var jau pagaidīt, līdz ielogosies un tad sūtīt pieprasījumus tavā vārdā. Quote Link to comment Share on other sites More sharing options...
codez Posted February 7, 2012 Report Share Posted February 7, 2012 (edited) viennmēr varēs atrast arvien spēcīgāku veidu kā apiet jebkuru drošības pasākumu, taču kaut kāds drošības pasākumu kopums parasta rada pietiekami lielu drošību, lai lielākajā daļā gadījumu viss būtu ok. Edited February 7, 2012 by codez Quote Link to comment Share on other sites More sharing options...
Jay Kay Posted February 7, 2012 Author Report Share Posted February 7, 2012 (edited) Facebook jau arī nendrošina doršu loginu. Es uztaisu tārpu, kurš spiego paroles un izplatās caur epastiem, skype un datu nesējiem un lasu visiem paroles. Nesaprotu, kāpēc gan Facebook neizmanto piespraužamas USB atslēgas, kuras pasargā pret šādu paroļu zagšanu? Bet par to, ka tev izdevās dabūt paroli, man šķiet, ka tu pamatīgi dirs, jo draugiem posto login formu caur https: <form action="https://secure.draugiem.lv/login/" name="login" method="post"> laikam tas bija tas, ko es gribēju noskaidrot. ja pati login lapa ir tikai HTTP, tad ar action="HTTPS" dati tiek nosūtīti kriptētā veidā? Paroļu hešošana ar JS klienta pusē ir kaķim zem astes. Uztaisīšu viltotu login lapu, bez taviem JS vipedroniem, tad, piemēram, saindēšu DNS, vai kā savādāk novirzišu tevi uz viltoto lapu un paroles rokā. HTTPS ir gandrīz vai vienīgais variants kā var pārliecināties, ka lapa kuru redzi ir tā kuru gribēji atvērt. tagad arī saprotu, ko īsti nozīmē tīkla saindēšana, ko es paveicu ar Cain'u - lietotājs tika aizvests ķipa uz to pašu draugiem.lv, taču fake lapu - atceros, ka tika piedāvāts pārinstalēt kkādu SSL sertifikātu, kas attiecīgi bija Cain ģenerēts. paldies! apmēram skaidrs! Edited February 7, 2012 by Jay Kay Quote Link to comment Share on other sites More sharing options...
Kavacky Posted February 8, 2012 Report Share Posted February 8, 2012 laikam tas bija tas, ko es gribēju noskaidrot. ja pati login lapa ir tikai HTTP, tad ar action="HTTPS" dati tiek nosūtīti kriptētā veidā? Padomā... ja action norāda adresi, uz kuru jāveic sūtījums, tad... Quote Link to comment Share on other sites More sharing options...
vincister Posted February 8, 2012 Report Share Posted February 8, 2012 Atbilde ir HTTPS. Bez HTTPS var mēģināt izlīdzēties ar password challenge. 1. Serveris kopā ar login formu nosūta challenge string, kas, protams, katru reizi ir unikāls. 2. Klienta pusē JS paroli kopā ar šo challenge nohešo un sūta atpakaļ. 3. Servera pusē atliek vien pārbaudīt. Šādi tiek nosacīti pasargāts pret iespēju nosnifotu hash iebarot serverim. Bet vēlreiz, tikai https būs drošs. Quote Link to comment Share on other sites More sharing options...
Jay Kay Posted February 8, 2012 Author Report Share Posted February 8, 2012 Atbilde ir HTTPS. Bez HTTPS var mēģināt izlīdzēties ar password challenge. 1. Serveris kopā ar login formu nosūta challenge string, kas, protams, katru reizi ir unikāls. 2. Klienta pusē JS paroli kopā ar šo challenge nohešo un sūta atpakaļ. 3. Servera pusē atliek vien pārbaudīt. Šādi tiek nosacīti pasargāts pret iespēju nosnifotu hash iebarot serverim. Bet vēlreiz, tikai https būs drošs. LABS! Quote Link to comment Share on other sites More sharing options...
ezis Posted February 8, 2012 Report Share Posted February 8, 2012 Tātad sanāk, ja kāds pieslēdzies pie manas drāts un skatās, kas par to staigā, tad jau jebkurā gadījumā snifferim būs iespēja izmantot sessijas id? Quote Link to comment Share on other sites More sharing options...
codez Posted February 8, 2012 Report Share Posted February 8, 2012 Tātad sanāk, ja kāds pieslēdzies pie manas drāts un skatās, kas par to staigā, tad jau jebkurā gadījumā snifferim būs iespēja izmantot sessijas id? Principā jā, ja vien tas nenotiek caur https. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.