Личный кабинет - косвенная работа с деньгами, какие могут быть уязвимости?

gonza · 17 Апр 2007

Автор оригинала: Sanchez
Ок, тогда еще вопросы:
1. Свой сервер - с какой точки зрения, с той что там не сделаешь свои настройки безопасности или больше играет роль то, что там кроме тебя есть куча соседей?

И то и другое. Есть такое понятие в безопасности - периметр. Так вот, если админишь не ты или твой работник - ты периметр не контролируешь.

Автор оригинала: Sanchez
И если я покупаю выделенный сервер, то можно ли доверять специалистами из хостинговой компании, которые будут делать его настройку?

Нет, нельзя. Но тебя это не должно беспокоить. Когда заказчик поинтересуется куда засовывать паяльник ты всегда сможешь указать подходящую задницу, помахивая договором.

Автор оригинала: Sanchez
И еще я подумал, а если все данные, представленные на сайте в базе, шифровать, применив в качестве ключа пароль пользователя? Т.е. в таком случае, даже если злоумышленник получает полный доступ к базе, то эти данные ему ничего не дадут. Конечно, стоит вопрос в выборе алгоритма шифрования, но наверняка ведь есть уже решения кроме md5.

Срочно выясни разницу между шифрованием и хэшингом.

Sanchez · 18 Апр 2007

Я знаю разницу, просто MD5 по привычке называю как шифрующую функцию, т.к. ее часто используют в этих целях. В конечном счете, можно сказать что она является частным случаем шифрования - без ключа и возможности обратного преобразования, имхо

С. · 18 Апр 2007

Пароли можно хранить локально (...) а на сервере - вообще не хранить их.

И проверять пароли при логине тоже только локально (яваскриптом?)

Sanchez · 18 Апр 2007

На сервере хранить можно зашифрованную строку, которая при дешифрации правильным паролем даст определенное, например, слово. По этому и выносить критерий - залогинен/незалогинен.

Alexandre · 18 Апр 2007

И проверять пароли при логине тоже только локально (яваскриптом?)

ну и как это реализовать???

На сервере хранить можно зашифрованную строку, которая при дешифрации правильным паролем даст определенное, например, слово. По этому и выносить критерий - залогинен/незалогинен

а как дешифровать?
можно с этого момента чуть поподробнее? Для дешифрации требуется ключ, ключ и пароль это разные вещи или мы что-то путаем? Если для дешифрации требуется ключ, то его надо где-то хранить.

-~{}~ 18.04.07 15:28:

как вариант (он сложный но вариант и на шаред хостинге практически не реализуем ) каждому пользователю выдается SSL сертификат, который клиент устанавливает в браузер. При ssl доступе просиходит обмен сертификатами между сервером и пользователем и устанавливается защищенное соединение (автоматически). используя mod_ssl можно узнать публичный ключ клиента, который устанавливается как переменная среды. этим ключом + приватный сервера и шифруются данные пользователя.

Все, и ни каких гвоздей.

Админ не знает ключ пользователя. Другой пользователь не залезет в чужие данные не имея Сертификата.

Сложность - необходим наладить механизм раздачи Сертификатов.
читать
www.openssl.org
www.php.net/ssl
www.apache.org/mod_ssl

Андрейка · 18 Апр 2007

Для дешифрации требуется ключ, ключ и пароль это разные вещи или мы что-то путаем?
чем одно от другого отличается?

каждому пользователю выдается SSL сертификат
чем сертификат от пароля отличается?

Alexandre · 18 Апр 2007

чем сертификат от пароля отличается?

читать http://www.osp.ru/win2000/2007/01/4037671/
http://7000.ru/crypto/details3.php?prod_id=682&id=130
http://www.cryptopro.ru/CryptoPro/documentation/dig-cert.htm
http://www.fns.snu.edu.ua/

ну и яндекс в помощь

Андрейка · 18 Апр 2007

Alexandre
а вы уверены, что у меня получится прям вот так взять и с первого раза найти там подтверждение ваших слов? пасиб за оказанное доверие, попробую его оправдать)

Alexandre · 18 Апр 2007

а вы уверены, что у меня получится прям вот так взять и с первого раза найти там подтверждение ваших слов

Андрейка оно тебе надо? тема-то не твоя.

Sanchez · 19 Апр 2007

Автор оригинала: Alexandre
ну и как это реализовать???
а как дешифровать?
можно с этого момента чуть поподробнее? Для дешифрации требуется ключ, ключ и пароль это разные вещи или мы что-то путаем? Если для дешифрации требуется ключ, то его надо где-то хранить.

Я предполагал так - что пароль будет являться ключом для шифрования/дешифрования, т.е. расшифровать свои собственные данные можно только с помощью пароля (и как вариант, в фирме эти пароли хранятся локально в открытом виде).

Alexandre · 19 Апр 2007

слабенько, но можно принять (если список паролей шифровать и хранить локально в фирме).

минус - получается, что авторизации нет.... так как пароль не храниться на сервере...

но и вместо данных - непонятно что...

тогда продумать нужен механизм от подбора пароля.

Sanchez · 19 Апр 2007

Пароль, как я говорил, можно хранить в косвенном виде - например для каждого пользователя зашифрованная его паролем фраза, которая при дешифрации всегда должна давать одинаковый результат, какое-то кодовое слово, известное лишь скрипту. Пользователь вводит логин, пароль, если после дешифрации кодовой фразы получилась искомая фраза - все ок, нет - до свиданья.

А насчет подбора - разве использование надежного алгоритма шифрования не панацея от подбора?

Alexandre · 20 Апр 2007

нет, если бот будет долбить кажды 0.2 сек твой сайт, то рано или поздно - он подберет пароль.

Vallar_ultra · 20 Апр 2007

Sanchez
>А насчет подбора - разве использование надежного алгоритма шифрования не панацея от подбора?

шифрование не имеет никакого отношения к защите от перебора.

Sanchez · 20 Апр 2007

Имхо если сделать достаточно длинный пароль (как обяз. условие), то фиг там че бот подберет (за приемлемое время).

Vallar_ultra · 20 Апр 2007

goodpassword - хороший, длинный пароль. Тока вот его влегкую по словарю подберут. И оч. мало пользователей, которые себе придумывают нормальные пароли.

Alexandre · 20 Апр 2007

И оч. мало пользователей, которые себе придумывают нормальные пароли.

как показывает практика, Пароль должен генерить не пользователь а машина.

хороший пароль

-~{}~ 20.04.07 14:21:

Имхо если сделать достаточно длинный пароль (как обяз. условие), то фиг там че бот подберет (за приемлемое время).

ошибаешься

для того чтоб его не подобрали за приемлемое время, делается счетчик вхождений с данным логином, как только вылавливается подбор (три вхождения), то логин блокируется на как минимум на 30 минут

тогда время перебора становится действительно НЕ Приемлемым.

Vallar_ultra · 20 Апр 2007

Alexandre
Ага, и большинство юзеров, не способные запомнить что-нить типа Gh8D23Aj будут хранить его либо в текстовике на рабочем столе, либо в почте или запомнят в браузере.... а теперь идем читать про то, как это замечательно воруется.

Alexandre · 20 Апр 2007

га, и большинство юзеров, не способные запомнить что-нить типа Gh8D23Aj

Vallar_ultra ты не внимательно прочитал мою ссылку
задай вместо Gh8D23Aj
luBil_1703_leNU
Vasy98.Pupok,guru1

gonza · 20 Апр 2007

очередной вар про пароли.

Бандитский криптоанализ
Для получения ключа криптоаналитик прибегает к угрозам, шантажу или пыткам. Возможно также взяточничество, которое иногда называют вскрытием с покупкой ключа. Это очень мощные и, зачастую, самые эффективные методы взлома алгоритма

Брюс Шнайер, Прикладная криптография, Триумф, 2002, стр.21

Личный кабинет - косвенная работа с деньгами, какие могут быть уязвимости?

Новичок

Новичок

Продвинутый новичок

Новичок

PHPПенсионер

Senior pomidor developer

PHPПенсионер

Senior pomidor developer

PHPПенсионер

Новичок

PHPПенсионер

Новичок

PHPПенсионер

Любитель выпить :)

Новичок

Любитель выпить :)

PHPПенсионер

Любитель выпить :)

PHPПенсионер

Новичок