?

Log in

No account? Create an account
Не всякая чекистская шестёрка козырная - Пионер.
Июнь 28, 2012
09:40 pm
[User Picture]

[Ссылка]

Previous Entry Поделиться Next Entry
Не всякая чекистская шестёрка козырная

(104 комментария | Оставить комментарий)

Comments
 
[User Picture]
From:pioneer_lj
Date:Июнь 29, 2012 07:59 am
(Link)
На хозяйском компьютере остаются следы соединения с почтой. С их помощью специалисты, располагая соответствующей техникой, могут влезть в почтовый ящик. Гопник Хэлл ничего этого не понимает, и даже не умет сделать умный вид.
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 29, 2012 08:42 am
(Link)
Я согласен с Вашей оценкой Хелла, но, видимо, Вы не знаете подробностей принципа авторизации на сайтах. Все «следы», которые остаются — это куки (cookies), позволяющие, да, входить в почту и т. п. без ввода пароля: открыл браузер и ЖЖ сразу «узнал» юзера.

Но это верно только до тех пор, пока пароль в ЖЖ не изменён (откуда угодно, с любого компьютера). Если Вы измените пароль, куки, хранящиеся на Вашем компьютере, станут бесполезным мусором. Другие следы тоже не имеют никакого смысла.

Отсюда и мой изначальный вопрос. Видимо, кто-то утаил какой-то нюанс.
[User Picture]
From:egh0st
Date:Июнь 30, 2012 12:11 am
(Link)
запоминание паролей в бравзере? :)
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 30, 2012 06:55 am
(Link)
Нет, в данном случае.

Давайте разберём подробнее, чтобы пугаться не призраков, а реально страшных вещей. Не «тёмной комнаты», но наставленного пистолета.

Итак, имеем компьютер №1, который помнит пароль от ЖЖ, а также имеет «следы» в виде невидимых пользователю установленных куков. Для ЖЖ куки имеют примерно такой вид: v1:u26290593:s70:t1340434800:g7c7e8539b8e237de8e328fd616739898149cf8b1//1 (не всё; есть ещё, конечно — это только пример). Где u26290593 — идентификатор пользователя (мой, в данном случае), s70 — номер сессии (сколько раз я вводил пароль в ЖЖ), t1340434800 — время действия (UNIX), g7c7e8539b8e237de8e328fd616739898149cf8b1 — зашифрованная комбинация идентификатора пользователя, времени и чего-то, возможно, ещё с помощью хешированного кусочка Вашего пароля, который ни Вы, ни злоумышленник знать не могут.

Иными словами, запуская свой браузер и не вводя вообще никаких паролей, браузер, тем не менее, посылает серверу эти самые куки, которые сервер расшифровывает и даёт «добро» или отказывает в авторизации.

Отсюда следует, что если Ваш компьютер попадёт мне в руки или Вы мне пришлёте свои куки — Я стану Вы. Не вводя никаких паролей никуда. Способов отличить уважаемого egh0st от меня для сервера не существует. Только Ваши куки, которых хранятся на Вашем компьютере (или сам пароль, разумеется).

Конфисковав Ваш компьютер, можно получить доступ к чему угодно: почте, ЖЖ и проч. именно по причине наличия куков и просто «запомненных паролей в браузере».

Идём дальше. Если Вас не посадили в соседнее помещение с конфискованным компом, Вы можете быстро-быстро побежать к компьютеру №2 и сменить все пароли к почте, ЖЖ, твиттеру. Заменить «секретный ответ на секретный вопрос», сменить привязку к номеру телефона и всё такое прочее.

После чего:

1. «запомненные пароли в браузере» на компьютере №1 перестанут иметь смысл. Не так ли?
2. куки браузера на компьютере №1 «не подойдут», потому что изменится всё! Сервер скажет: «Давай, до свидания!»;
3. именно компьютер №2 станет теперь хранителем авторизационных данных, отличных от хранимых на к. № 1.

Видите? — никакой мистики. Компьютер №1 станет бесполезным куском железа в смысле доступа к сетевым ресурсам. Никакие «следы» на нём не помогут теперь войти в гугльпочту или ЖЖ, например.

P. S. Прошу прощения за размер написанного, но кто-то должен нести луч света в тёмное царство :)
From:sorgon_74
Date:Июнь 30, 2012 10:04 am
(Link)
Про трояны расскажи.
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 30, 2012 12:01 pm
(Link)
С какой целью интересуетесь?

И какое отношение трояны имеют к разбираемой теме?
[User Picture]
From:egh0st
Date:Июнь 30, 2012 03:56 pm
(Link)
Ну я понимаю принципы работы куков, хотя они на самом деле не единственный возможный механизм (и более того я считаю что их воообще надо запретить :))

1. Атащамта, состна, если получить доступ к моему компу, физический, никаких куков и не нужно, у меня и так пароли на жж, мыло, ибей и подобное вообще просто в бравзере хранятся.

2. А вот важные вещи типа платёжных инструментов, вот там пароли не запоминаются вообще. И никакие куки вам туда не помогут. К примеру пейпал. На мой ибей вы сможете зайти без проблем, а вот купить там что-либо не очень просто, так как в процессе покупки ибей редиректит на пейпал, пароль которого не записан (и лично я ввожу его каждый раз вручную).

3. Вообще несложно поставить аддон который будет форсировать кукисы на определенный домен только на одну сессию бравзера. Я так делаю для гугла и т.д. Разумеется нету смысла делать ограничения по кукушкам для жж и прочих форумов.
Посему если комп конфискуют когда он выключен (например меня нет дома) то ничем особливо это им не поможет, так как кукисов на тот же джимейл там не будет. А если видно что уже ломятся, то не проблема нажат на sign out в нужных табах, после чего ваши куки далее негодны.

From:Yuri Bichkoff [bichkov.com]
Date:Июнь 30, 2012 04:23 pm
(Link)
1. Я об этом и написал: куки или пароли.
2. Разумеется. Для «денежных» и прочих критических операций я ввожу всегда вручную на каждую сессию, аналогично.
3. Чтобы форсировать кукисы, надо иметь пароль. Для этого его надо либо хранить в браузере, либо вводить вручную каждый раз. Иными словами, подобный аддон не имеет смысла, на мой взгляд.

У меня всё ещё хуже: диски зашифрованы TrueCRYPTом. Даже загрузить компьютер не получится. Поэтому мне вообще всё равно, что́ и сколько чего на компьютере хранится. Не так чтобы было что скрывать, но отработка технологий — дело полезное. Не только советы давать, но и жить правильно :)

Запрещать куки смысла нет — удобный механизм. Почему нет? Просто, надо знать их слабые стороны.
[User Picture]
From:egh0st
Date:Июнь 30, 2012 05:21 pm
(Link)
на лапте и у меня трукрипт работает :)

просто кому мой домашний комп нужен будет :) пока за много лет (и уже не первый комп) никому не понадобился, а злостной нелегальщиной я не занимаюсь, посему врядли. Лаптоп можно потерять, могут украсть, я с ним в поездки по европе в т.ч. езжу. Потому там-то трукрипт.

Аддон имеет смысл именно для того чтоб гугол не хранил шпиёнские кукушки вечно (чем он обычно занимается).

Кукисы для быдла, как и большая часть высеров от W3C. Они с css более-менее стали только в третьей версии к потребному подходить.

Кукисы должны быть только для случаев когда авторизироваться на сайте вообще не надо, например запомнить выбранный стиль сайта и прочее. Поддержка авторизованных сессий может быть только на основе нормального криптографического протокола, например использую shared secret в течение сессии.
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 30, 2012 06:23 pm
(Link)
Вот кто должен просвещением народа заниматься, а не почтенные старцы вроде меня! :)

Ну, да. Лаптоп по определению должен быть зашифрован.

Гугол — это пестня. Пусть хранит что хочет, но достача конкретная с его бесконечными автообновлениями и проч. Все сервисы везде отключены, но при любом удобном случае всё равно лезет обновляться или чего плохое делать...

Слово «быдло» меня несколько коробит, но при чём тут CSS? В куках хранятся даже идентификаторы сессий. Тащить через адресную строку давно уже не комильфо.

> Поддержка авторизованных сессий может быть только на основе нормального криптографического протокола, например использую shared secret в течение сессии.

Смотря о чём идёт речь. Когда сам разрабатываешь технологии, используя что-нибудь вроде challenge-response и проч., то можно сделать что угодно, а если юзаешь готовым клиент-банком, например, то «использовать shared secret» или ещё чего не получится.
[User Picture]
From:egh0st
Date:Июнь 30, 2012 06:51 pm
(Link)
ну гугол легко отучить от всяких обновлений :) у меня не обновляется, но я и кроме как вэб-сервисов ничего не юзаю.

CSS это как пример. УжасТно плохо продуманная система, причем это и на бравзерах сказывалось (а в IE и до сих пор сказывается местами :)))

Понятно что самому можно разработать что угодно. Я как раз намекаю на то что это надо сделать *стандартом*. Для этого кто-то (например W3C) должен его разработать и форсировать. Ессно что пока основные бравзера его не станут поддерживать, никто (со стороны вебсайтов) не будет этот протокол использовать. С помощью этого варианта можно отучить вебовцев от привычки шпионить за пользователями, например.

Как вариант можно предложить секьюрный код, который получается хешированием (например sha-2) рандомно сгенерированного числа с использованием хеша *юзернейма/логина* пользователя в качестве солта. В чем вся соль тащемта -- этот хеш потом используется при хешировании текущего времени (округлённого например до минут или даже часа) и отправляется при *каждом* запросе на сервер автоматом. К примеру даже перехват траффика не очень поможет зайти на сервер в чужую авторизированную сессию (что сейчас, собственно, делается тривиально перехватывая сами кукушки).
From:Yuri Bichkoff [bichkov.com]
Date:Июль 1, 2012 07:43 am
(Link)
У меня тоже не обновляется (все сервисы и стартапы отключены), но при попытке посмотреть, например, версию Хрома (About Google Chrome) и забывши об этом приколе, получаешь принудительное обновление.

> С помощью этого варианта можно отучить вебовцев от привычки шпионить за пользователями, например.

Ну, будет другой вариант, делов-то. Пока «шпиёнство» очень невинно выглядит за счёт несовершенства протокола HTTP. Следует опасаться как раз «стопроцентной авторизации», IP6, привязок оборудования к человеку и т. п. Иногда я думаю, что американцы специально тянут, не позволяя «режимам» закрутить гайки. Анонимность — это хорошо, на самом деле. И текущая конфигурация веба позволяет оставаться анонимным (до известной степени, конечно).

Этот пассаж относится и к последнему абзацу Вашего поста.

Кстати, описанный Вами механизм авторизации используется довольно часто, особенно, при XMLRPC запросах. Кое-кто (Wordpress, например) идёт по упрощённому варианту, изобретая некие «nonce» с ограниченным временем жизни. Использование мобильного телефона для получения аналога однократного пароля — из этого же разряда. И т. п.

А кто-то просто использует SSL/TLS (как твиттер). И не парится. Перехват трафика совершенно бесполезен в этом случае.
[User Picture]
From:egh0st
Date:Июль 1, 2012 02:10 pm
(Link)
ну SSL это наше всё, да. Гугол тоже форсирует.

Просто пока все сайты на SSL перейдут, много времени пройдет. Тем более что многим будет очень лень еще и сертификаты покупать, а без них пользователям сообщение выдаётся, пугает это их...

From:Yuri Bichkoff [bichkov.com]
Date:Июль 1, 2012 03:39 pm
(Link)
Кстати, сертификаты — это отдельная песня, почище «мистики» с куками. Кто вообще проверяет CA? Убеждается, что зашёл не на сайт, сертификат которого self-signed, а на тот, который хотел?

На стороне провайдера вполне можно установить копии гуглопочтовика (чего угодно) и ловить пароли «тёпленькими». Вместе с лулзами. Кажется, это фишинг (phishing) называется?
[User Picture]
From:palivez
Date:Июль 2, 2012 10:02 pm
(Link)
А если в сеть выходят через USB-модем? Разве служба не может просто затребовать любой фрагмент почты у "ОПСОСА"? И взлом почты нужен только,
чтобы не задавали этот вопрос.
Пионер.RU Разработано LiveJournal.com