TheWanderer
Новичок
Функция "Запомнить меня" как угроза безопасности.
На одном из западных форумов по безопасности в PHP я видел точно такую же тему. Ссылку сейчас привести не могу, да и не важно это - найти-то я ее найду, но хотелось бы обсудить эту же тему так сказать в русскоязычном сообществе. Ведь не опытом западных гуру единым жив человек
Поясню проблему. Например, злоумышленник получил хэш от пароля администратора. Как - неважно. Важно, что если он даже и может заменить его на свой, то делать этого не хочет - засекут, в итоге потеряет систему. Проблема вот в чем. Без функции "Запомнить меня", он этот хэш фактически никак применить не сможет. В конце-концов, именно хэш как правило хранят в кукишах для функции "Запомнить меня". Возможны вариации, вроде хэша от хэша плюс какой-то персональный идентификатор сайта (по-моему, такое я видел в e107). Но в итоге это помогает помогает слабо. Пойдем дальше. Пусть salt генерируется для каждого пользователя отдельно. Но его нужно где-то хранить. Просто ради интереса предположим, что хакер имеет доступ и к нему (или у него полностью готовый кукиш администратора). В итоге - успешная атака, хакер в системе, админ может об этом даже не подозревать.
Итак, теперь извечный вопрос: "Что делать?" Мне на ум приходит только повторный запрос пароля для любых административных действий. Возможно, у вас есть какие-то другие идеи. Интересно бы было выслушать.
PS. Пожалуйста, без ответов вроде "если админ дятел, ничего не поможет", "если хакер получил кукиши админа, то админ дятел и ничего точно не поможет", "если хакер имеет расширенные привелегии, система дырявая и админ дятел, то ничего не поможет даже под наркозом". Все вышеизложенное - это теория и ничего более.
На одном из западных форумов по безопасности в PHP я видел точно такую же тему. Ссылку сейчас привести не могу, да и не важно это - найти-то я ее найду, но хотелось бы обсудить эту же тему так сказать в русскоязычном сообществе. Ведь не опытом западных гуру единым жив человек
Поясню проблему. Например, злоумышленник получил хэш от пароля администратора. Как - неважно. Важно, что если он даже и может заменить его на свой, то делать этого не хочет - засекут, в итоге потеряет систему. Проблема вот в чем. Без функции "Запомнить меня", он этот хэш фактически никак применить не сможет. В конце-концов, именно хэш как правило хранят в кукишах для функции "Запомнить меня". Возможны вариации, вроде хэша от хэша плюс какой-то персональный идентификатор сайта (по-моему, такое я видел в e107). Но в итоге это помогает помогает слабо. Пойдем дальше. Пусть salt генерируется для каждого пользователя отдельно. Но его нужно где-то хранить. Просто ради интереса предположим, что хакер имеет доступ и к нему (или у него полностью готовый кукиш администратора). В итоге - успешная атака, хакер в системе, админ может об этом даже не подозревать.
Итак, теперь извечный вопрос: "Что делать?" Мне на ум приходит только повторный запрос пароля для любых административных действий. Возможно, у вас есть какие-то другие идеи. Интересно бы было выслушать.
PS. Пожалуйста, без ответов вроде "если админ дятел, ничего не поможет", "если хакер получил кукиши админа, то админ дятел и ничего точно не поможет", "если хакер имеет расширенные привелегии, система дырявая и админ дятел, то ничего не поможет даже под наркозом". Все вышеизложенное - это теория и ничего более.
