"НЕГОНКИ" :: Просмотр темы - HTTPS форум

"НЕГОНКИ" http://bboard.negonki.ru/

HTTPS форум http://bboard.negonki.ru/viewtopic.php?f=40&t=9840	Страница 1 из 2

Автор:	wazzuup [ Ср 21 дек, 2011 14:57 ]
Заголовок сообщения:	HTTPS форум
Админы, не планируется ли сделать доступ к сайту с ssl? А то неприятно знаете ли палить учётку. Например, с работы через проксю, или из макдональдса и т.п.

Автор:	Alendos [ Ср 21 дек, 2011 15:21 ]
Заголовок сообщения:	Re: HTTPS форум
ты серьезен щас?

Автор:	wazzuup [ Ср 21 дек, 2011 15:39 ]
Заголовок сообщения:	Re: HTTPS форум
Я всегда серьёзен. Даже когда ставлю смайлы.

Автор:	DarkDino [ Чт 22 дек, 2011 12:05 ]
Заголовок сообщения:	Re: HTTPS форум
За сертификат надо денег платить, а самоподписанный - это фуфлогон, да и браузеры ругаются. Пока не планируется.

Автор:	korax [ Чт 22 дек, 2011 12:57 ]
Заголовок сообщения:	Re: HTTPS форум
DarkDino писал(а): За сертификат надо денег платить, а самоподписанный - это фуфлогон, да и браузеры ругаются. Пока не планируется. хостер агава, неплохой, по отзывам - выдает самоподписанный

Автор:	Trolzen [ Пт 23 дек, 2011 20:31 ]
Заголовок сообщения:	Re: HTTPS форум
DarkDino писал(а): За сертификат надо денег платить, а самоподписанный - это фуфлогон, да и браузеры ругаются. Пока не планируется. Замечательная аргументация! Самоподписанный -- не фуфлогон. Прекрасно решает задачу шифрования, которую описал ТС. Кому нужен https может либо каждый раз нажимать кнопку подтверждения, либо добавить сертификат в хранилище браузера. Кому не хочется, чтобы браузер ругался, и не хочется ничего крутить в браузере, будут по-прежнему пользоваться http. Делов-то на час максимум при умении, никому хуже не станет, а кому-то плюс.

Автор:	maratische [ Пн 02 янв, 2012 16:45 ]
Заголовок сообщения:	Re: HTTPS форум
чтобы не палить пароль, надо заранее по защищенному каналу авторизоваться и все. просто топик стартеру прокся сайт негонки может относить к левому медиа трафику и блокировать, а https ресурсы почему то не относятся к этому. я бы предложил очень простое решение (и весь сайт перевел на такую модель): если ты действительно хочешь, найди единомышленников и скинтесь на сертификат и на оплату возросшего трафика, если для провайдера это актуально.

Автор:	korax [ Пн 02 янв, 2012 19:59 ]
Заголовок сообщения:	Re: HTTPS форум
а еще есть такая штука как Tor

Автор:	antonio [ Вс 08 апр, 2012 1:53 ]
Заголовок сообщения:	Re: HTTPS форум
https://www.google.ru/search?q=phpbb+OpenId

Автор:	wazzuup [ Ср 11 апр, 2012 13:21 ]
Заголовок сообщения:	Re: HTTPS форум
korax писал(а): а еще есть такая штука как Tor Ну да, а есть ещё такая штука как i2p. А про заранее защищённый канал - я имел в виду, например, мак, или другие общедоступные точки (кафе, магазины). maratische, ты имеешь в виду чтобы в куки добавлено было? По сути из дома-то тоже канал не защищённый. Он защищён только между компом и точкой доступа. Тут и i2p не поможет, потому что после немецкого outproxy всё пойдёт снова в открытом виде. Но это уже, скорее всего моя паранойа.

Автор:	antonio [ Ср 11 апр, 2012 18:00 ]
Заголовок сообщения:	Re: HTTPS форум
По ссылке выше бесплатный мод к phpbb-форуму для OpenId аутентификации. Устанавливаем мод и получаем возможность логиниться под учёткой любого OpenId-провайдера: Vkontakte, GMail, Яндекс.Почта, Rambler, Mail.ru, LiveJournal, Twitter, FaceBook ... У этих провайдеров, разумеется, есть сертификаты и процесс аутентификаци защищён SSL. Задача "не палить учётку" здесь полностью решается. Плюс удобство - не надо логиниться на Негонках, если уже залогинился на Почте, или Вконакте.

Автор:	Trolzen [ Ср 11 апр, 2012 21:12 ]
Заголовок сообщения:	Re: HTTPS форум
А если нужно решение для "чтобы не увели учётку" а не просто не светить пароль?

Автор:	antonio [ Чт 12 апр, 2012 0:13 ]
Заголовок сообщения:	Re: HTTPS форум
А как можно увести учётку, скажем, на GMail-е? https://accounts.google.com/ServiceLogin Обмен учётными данными идёт по https, ни один прокси, или сетевой монитор перехваченный пакет не расшифрует. Чем в данной ситуации https://bboard.negonki.ru/login будет надёжнее, чем https://accounts.google.com/ServiceLogin ? И ещё, Trolzen, как можно "увести" учётку, не "засветив" пароль? Сломать сервер что ли?.. Если сервер делался прямыми руками, в БД хранится не пароль, а Хэш пароля. Т.е. даже если я залезу в БД Негонок, я увижу там MD5-хэш твоего пароля и не смогу "увести" твою учётку.

Автор:	Trolzen [ Чт 12 апр, 2012 2:57 ]
Заголовок сообщения:	Re: HTTPS форум
Учётка на Негонках имелась в виду. В куках -- идентификатор сессии, злоумышленник перехватывает их, прописывает себе, форум его признаёт как другого пользователя, потом злоумышленник меняет пароль. Хотя на этом форуме не получится сменить ни пароль, ни мыло не зная исходного пароля. Зато можно потереть все сообщения, что тоже не очень приятно. Или писать гадости другим пользователям.

Автор:	antonio [ Чт 12 апр, 2012 5:34 ]
Заголовок сообщения:	Re: HTTPS форум
Смотри, чтоб не возиться с подменой куки, отключил куки в браузере. Залогинился. Sid передаётся в строке url. Проверяю Fiddler-ом - куков нет. Удаляю Sid из url - гость. Возвращаю - юзер. Теперь пытаюсь передать url вместе с Sid другому такому же браузеру с отключенными cookies - Гость. Чего не хватает? Сессия на сервере к чему-то привязана? К IP клиента? upd: В общем, простой подменой куков в браузере, не получится обмануть сервер. Сессия на стороне сервера, вероятнее всего, привязана к значениям параметров в заголовках HTTP GET/POST запросов, типа User Agent (браузер, ОС) и др. Без специализированного софта, полностью формирующего HTTP запросы, тут не обойтись. Учитывая, что время сеанса ограничено (на негонках - 30 минут, судя по кукам), у злоумышленника не так много времени. Плюс, привязка сессии на сервере к IP-адресу клиента. Это, впрочем, решается IP-spoofing-ом, но тоже не без танцев с бубном... ---- Так что OpenId через провайдера с HTTPS - довольно надёжная защита. Перехват куков, во-первых, не даст злоумышленнику завладеть учёткой (операция смены пароля недоступна), во-вторых, без специального софта и незаурядных навыков - не даст ничего сделать в рамках активного сеанса. А вот перехват HTTP POST - запроса, где сейчас в чистом виде отправляются логин+пароль - это полная потеря учётки. HTTP POST POST http://bboard.negonki.ru/ucp.php?mode=login HTTP/1.1 Accept: text/html, application/xhtml+xml, / Referer: http://bboard.negonki.ru/ucp.php?mode=login Accept-Language: ru-RU User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0) Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate Host: bboard.negonki.ru Content-Length: 200 Connection: Keep-Alive Pragma: no-cache username=antonio&password=**********&redirect=.%2Fucp.php%3Fmode%3Dlogin%26sid%3D3df6a009cd6e47504ecf9df9cc1e7aac&sid=3df6a009cd6e47504ecf9df9cc1e7aac&redirect=index.php&login=%D0%92%D1%85%D0%BE%D0%B4

Страница 1 из 2	Часовой пояс: UTC + 3 часа [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/