А почему бред (2tny2001)

[shingrus]

Автор оригинала: Barlone
Чтобы перехватить tcp/ip, достаточно запустить сниффер на на компе в том же ethernet-сегменте, что и комп пользователя или маршрутизатор или сервер. Это не то же самое, что контроль над маршрутизатором (рутовые права на нем).

ну и что... это всё правильно и что??? ты это к чему... ну если ты в 1 физ сегменте, ты уже можешь отсылать данные от другого ip ...

 

[Yurik]

зато стоит только ему поймать п.3 и все уже становится бесполезным.
я надеюсь, ты серъезно не думаешь, что выцепить значение строки в hidden (или куках) - это очень сложно?

Что становится бесполезным? Что ты собираешься делать из п.3? Он уже давно нигде не числится.

Yurik, если бы все было так просто, то зачем выдумали RSA, PGP и другие алгоритмы шифрования

цитирую первые строчки статьи

Не всегда разработчик имеет доступ к конфигурации веб-сервера и может использовать сертификаты безопасности, а обычные не обеспечивают надежной защиты

теперь ключевой вопрос:

ключевым вопросом этого сабжа есть замечание на твой неадекватный отзыв в гостевой. Как я сказал, кому использовать, а кому нет этот метод - решать читателю статьи, а говорить что это - бред.........................

ВСЁ можно подделать в разумные трудозатрату в разумные временные пределы

Использование этой защиты перед простой передачей пароля резко поднимает трудозатраты и в большистве случаев (на какие рассчитан метод) делает их нереентабельными.

 

[Barlone]

tony2001 Возможность залогиниться => возможность изменить контент (так обычно бывает), а посмотреть всё и без логина можно наверное.

 

[Barlone]

Автор оригинала: shingrus
ну и что... это всё правильно и что??? ты это к чему... ну если ты в 1 физ сегменте, ты уже можешь отсылать данные от другого ip ...

Не можешь, не будет ничего работать (если конечно не отключить одновременно каким-то способом комп пользователя).

 

[Yurik]

если контент будет идти по открытому каналу, а для авторизации мы будем использовать супер--алгоритм с сессионным ключом, то в чем смысл ?

Я лично использовал метод 4 раза и все только для content management того, что и так всем видно

 

[tony2001]

значительно проще и без мд5 и джаваскрипта:
генерим новому пользователю последовательность из 15-ти цифр и выдаем ему бумажку с этой последовательностью.
при заходе говорим ему указать 3 случайные цифры (какие именно - мы запоминаем).
вероятность угадывания не помню, но помню, что очень маленькая.
что-то типа 1-ной 450-ти миллионной.

 

[Barlone]

tony2001: это шутка, или это серьезно ?

 

[tony2001]

>tony2001: это шутка, или это серьезно ?
это смешно ?
такая схема абсолютно серъезно используется в системах "Клиент-Банк".

 

[Barlone]

Бумажку с цифрами надо очень часто менять, а иначе после десятка перехваченых сессий хакер будет знать все 15 цифр.

 

[shingrus]

Автор оригинала: Barlone
Не можешь, не будет ничего работать (если конечно не отключить одновременно каким-то способом комп пользователя).

чего "ничего" работать не будет? -)))))
маршрутизатор не отошлет???? ну только если у него идёт жесткие проверки на соответствие мак адресов... ну и это можно... но только уже не стоит игра свеч...

 

[Ямерт]

Обычно происходит так:
Если клиент банка хочет использовать Ебанк, в банке ему выдают карточку с несколькими закрашенными, как на лотерейных билетах, числами (обычно около 20).
Каждый раз, снова пользуясь Ебанком, клиент кроме всего прочего (логин-пароль) вводит новый код, и после закрытия SSL-сессии код более недействителен.
Когда все числа исчерпаны, клиент идёт за новой картой.

 

[Barlone]

Автор оригинала: shingrus
чего "ничего" работать не будет? -)))))
маршрутизатор не отошлет???? ну только если у него идёт жесткие проверки на соответствие мак адресов... ну и это можно... но только уже не стоит игра свеч...

TCP-соединение установить не удастся, если комп с таким IP-адресом есть. Потому как IP-пакеты к нему будут приходить и он на них будет отвечать.

 

[shingrus]

ip пакеты не будут приходить.... занимательно... а сниффер работать будет??? очень интересно... а кто же пускать эти пакеты не будет в одном физическом сегменте??? не расскажешь...

 

[Barlone]

Я не сказал, что они не будут к хакеру приходить.

 

[shingrus]

Автор оригинала: Barlone
Я не сказал, что они не будут к хакеру приходить.

ну так я иговорю, когда хакер получает доступ к одному физ сегменту либо в сети сервера, либо в сети клиента... под доступом я понимаю доступ на программном уровне к интерфейсу, смотрящему в данный физ сегмент

 

[Barlone]

Еще раз: Хакер не сможет установить TCP-соединение с сервером с IP-адресом компа юзера, если комп юзера в это время работает. Комп юзера будет получать пакеты от сервера и отвечать на них, что помешает нормальному установлению соединения.

 

[shingrus]

Автор оригинала: Barlone
Еще раз: Хакер не сможет установить TCP-соединение с сервером с IP-адресом компа юзера, если комп юзера в это время работает. Комп юзера будет получать пакеты от сервера и отвечать на них, что помешает нормальному установлению соединения.

блин, смешно уже... кто быстрее , тот и сможет... опять же если в деле не участвуют мак адреса

 

[Barlone]

Ну найди RFC по TCP и внимательно изучи процедуру установки соединения и использование сигнала RST. Здесь форум не по основам TCP/IP.

 

[Ямерт]

2shingrus, Barlone:
Ребята, вам уже в форум по секьюрити...

 

[Barlone]

Согласен