"НЕГОНКИ"
http://bboard.negonki.ru/

HTTPS форум
http://bboard.negonki.ru/viewtopic.php?f=40&t=9840		 Страница 2 из 2
Автор:  Trolzen [ Чт 12 апр, 2012 20:37 ]
Заголовок сообщения:  Re: HTTPS форум
Сессия к IP не привязана, у меня он постоянно меняется, меня не вылогинивает никогда. Про 30 минут сеанса тоже не верно в общем случае, мне вот никогда не приходится логиниться. Видимо, потому, что я галочку при входе ставил.

Я как-то не понял рассуждения: отключаем в двух браузерах куки, моделируем перехват запросов, не получилось => делаем вывод что подмена куков не сработает. Где логика?

Про сложность реализации тоже не согласен, формировать нужные запросы не сложнее, чем перехватывать wifi-трафик. И там, и там специализированный софт.

Перехват куков именно даст завладеть учёткой, не полностью, конечно, ровно до тех пор, пока хозяин не заподозрит, что что-то не так. Это примерно как говорить, что злоумышленник, который может открыть мою квартиру, но не может сменить замок, не может завладеть квартирой. Ну да, "выгнать" хозяина не получится, но от этого не легче.

OpenID полезно, я тоже считаю, что его надо прикрутить. Но это совершенно не исключает нужности HTTPS в отдельных случаях. К тому же менее вероятно по сравнению с самоподписанным сертификатом, что это будет сделано. Модуль же надо ставить, некие манипуляции с движком проводить, тестировать потом. Тут вон шаблон изменить, и то проблема.

Вообще мне непонятна аргументация против. Есть как минимум 2 человека, которые считают, что это будет полезно. В ответ какие-то непонятные аргументы про "фуфлогонность" самоподписанных сертификатов, про то, что это никому не нужно, про то, что это будет мешать пользователям.
Автор:  antonio [ Пт 13 апр, 2012 3:45 ]
Заголовок сообщения:  Re: HTTPS форум
Trolzen писал(а):
Я как-то не понял рассуждения: отключаем в двух браузерах куки, моделируем перехват запросов, не получилось => делаем вывод что подмена куков не сработает. Где логика?
Trolzen, ты представляешь внутренний механизм веб-приложений, или просто прочитал о том, что есть такая информационная угроза "кража куки"?
Если только прочитал, тогда давай исходить из такой логики:
1. Я отключил в браузере куки для домена negonki.ru. Куков нет.
2. Может злоумышленник украсть то, чего нет? Нет не может.
Вывод - ну так отключи куки и будет тебе счастье.

Trolzen писал(а):
Сессия к IP не привязана, у меня он постоянно меняется, меня не вылогинивает никогда. Про 30 минут сеанса тоже не верно в общем случае, мне вот никогда не приходится логиниться. Видимо, потому, что я галочку при входе ставил.
Прежде чем делать подобные заключения, посмотри содержимое кукисов с негонок.
Вопрос про 30 минут отпадёт сам собой.
Если посмотришь как меняется содержимое кукисов с "галочкой" и без, сможешь ответить на вопрос - почему, с точки зрения информационной безопасности, ставить галочку "Автоматически входить при каждом посещении" - крайне не желательно.

Trolzen писал(а):
OpenID полезно, я тоже считаю, что его надо прикрутить. Но это совершенно не исключает нужности HTTPS в отдельных случаях.
Исключает, Trolzen, исключает. Негонки - форум велосипедистов, а не IT-параноиков. Любое решение должно внедряться исходя из удобства и полезности для рядового пользователя.

На Негонках прекрасно работает защита по принципу "Неуловимого Джо":
- Папа, а он что - правда такой неуловимый?
- Да кому он, нахер, нужен...
Автор:  Trolzen [ Пт 13 апр, 2012 15:13 ]
Заголовок сообщения:  Re: HTTPS форум
antonio, я-то представляю, как работают веб-приложения. А ты представляешь? Или только зачёт получил по курсу "Информационная безопасность"? :)
3. Куков, нет, а как же тогда форум определяет ты это или не ты? Правильно, по sid и, возможно, по другим заголовкам.
4. Их сложнее перехватить, чем куки? Правильно, не сложнее.
Вывод: после отключения куков то, что можно с пользой украсть, никуда не делось.

То, что у тебя не получилось передать сессию между браузерами с откючёнными куками, не означает, что это сделать невозможно. Может быть ты просто что-то сделал не так.

Цитата:
Прежде чем делать подобные заключения, посмотри содержимое кукисов с негонок.

Для того чтобы делать подобные заключения, не нужно никакое лазанье по кукам. Достаточно просто пользоваться форумом и добавить немного логики, что я и сделал. IP меняется, логиниться не приходится => привязки к IP нет. Кстати, куки посмотрел, время жизни стоит до 13-го года. И чего?

С точки зрения информационной безопасности, ставить галочку именно желательно: аутентифицироваться дома, потом идти в кафе, как предлагал выше maratische. Иначе, если не успеешь добежать до кафе за полчаса, придётся передавать пароль в открытом виде. Да, это всё касается текущего положения дел, когда ни OpenID, ни SSL нет.

Никак не могу понять, как же оно так исключает? OpenID -- аутентификация, SSL -- защита передаваемых данных между браузером и форумом, к которой OpenID вообще никаким местом не относится.

Как SSL помешает удобству "рядового пользователя"?
Автор:  antonio [ Сб 14 апр, 2012 18:30 ]
Заголовок сообщения:  Re: HTTPS форум
Trolzen писал(а):
стоит до 13-го года. И чего?
И того - плохо посмотрел.
Там есть 3 кука: _u (UserId), _sid (Session Id) и _k (key)
Первые 2 живут 30 минут - время жизни сессии. 3-й живёт ровно год, что ты и увидел. Под значением 3-го на сервере сохраняются данные, под которыми на сервере можно поднять новую сессию от того же юзера.
Считай что там хранятся твои логин и пароль. Только сделано умнее и там хранится всего лишь ключ к твоим данным на сервере.
Поэтому кража именно этого кука, в комплекте с остальными, даст злоумышленнику в любое время поднять на сервере новую сессию от твоего имени, не зная логин и пароль.
Отсюда рекомендация - галочку не ставить.

Trolzen писал(а):
То, что у тебя не получилось передать сессию между браузерами с откючёнными куками, не означает, что это сделать невозможно. Может быть ты просто что-то сделал не так.
Разумеется что-то "не так". У 2х браузеров отличались User Agent (ОС) и IP-клиента.
При старте нового Сеанса, сервер запоминает User Agent(из HTTP заголовка) и IP клиента.
При новом запросе страницы от имени того же sid-а, если хоть что-то из вышеперечисленного не совпало, значит что-то "не так" и сервер обслуживает тебя как Гостя.
Я своими руками писал аналогичный код в Клиент-Банке.
Автор:  Trolzen [ Сб 14 апр, 2012 21:21 ]
Заголовок сообщения:  Re: HTTPS форум
Нормально посмотрел, у меня все три до 13-го года.
Не надо мне объяснять, как работают сессии и что хранится в куках, я это всё прекрасно знаю, лишний информационный шум ни к чему.
Автор:  antonio [ Вс 15 апр, 2012 2:37 ]
Заголовок сообщения:  Re: HTTPS форум
Ну если б знал, тогда бы не писал глупости, как сессия к IP не привязана.
Автор:  antonio [ Вс 15 апр, 2012 6:00 ]
Заголовок сообщения:  Re: HTTPS форум
Логинимся, ловим монитором HTTP GET запрос, копируем его параметы, выполняем код:
 Простейший эксперимент
Код:
        static void Main(string[] args)
        {
            using (var client = new WebClient())
            {
                client.Headers.Add("User-Agent", "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0");
                client.Headers.Add("Cookie", "phpbb3_asarx_u=368; phpbb3_asarx_k=; phpbb3_asarx_sid=ac822270eb906ea5bf64351e2829e103");
                File.WriteAllText("1.html", client.DownloadString("http://bboard.negonki.ru"), Encoding.Default);
            }
        }

Открываем файл - страница аутентифицированного пользователя.

Меняем хоть 1 символ в User Agent. Запускаем, открываем файл - страница Гостя. Возвращаем старое значение, запускаем - Юзер. Привязка к User-Agent доказана.
Выполняем код с другого хоста - Гость. Привязка к IP доказана.

Заметь, я не боюсь палить свой SID, т.к. кука phpbb3_asarx_k= - пустая. Сессия умрёт от старости через 30 минут.
А вот ты, как самый умный, можешь продолжать ставить галочку "Автоматически входить при каждом посещении".
Удачи.
Страница 2 из 2 Часовой пояс: UTC + 3 часа [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/