?

Log in

No account? Create an account
Не всякая чекистская шестёрка козырная - Пионер.
Июнь 28, 2012
09:40 pm
[User Picture]

[Ссылка]

Previous Entry Поделиться Next Entry
Не всякая чекистская шестёрка козырная

(104 комментария | Оставить комментарий)

Comments
 
From:Yuri Bichkoff [bichkov.com]
Date:Июнь 30, 2012 06:23 pm
(Link)
Вот кто должен просвещением народа заниматься, а не почтенные старцы вроде меня! :)

Ну, да. Лаптоп по определению должен быть зашифрован.

Гугол — это пестня. Пусть хранит что хочет, но достача конкретная с его бесконечными автообновлениями и проч. Все сервисы везде отключены, но при любом удобном случае всё равно лезет обновляться или чего плохое делать...

Слово «быдло» меня несколько коробит, но при чём тут CSS? В куках хранятся даже идентификаторы сессий. Тащить через адресную строку давно уже не комильфо.

> Поддержка авторизованных сессий может быть только на основе нормального криптографического протокола, например использую shared secret в течение сессии.

Смотря о чём идёт речь. Когда сам разрабатываешь технологии, используя что-нибудь вроде challenge-response и проч., то можно сделать что угодно, а если юзаешь готовым клиент-банком, например, то «использовать shared secret» или ещё чего не получится.
[User Picture]
From:egh0st
Date:Июнь 30, 2012 06:51 pm
(Link)
ну гугол легко отучить от всяких обновлений :) у меня не обновляется, но я и кроме как вэб-сервисов ничего не юзаю.

CSS это как пример. УжасТно плохо продуманная система, причем это и на бравзерах сказывалось (а в IE и до сих пор сказывается местами :)))

Понятно что самому можно разработать что угодно. Я как раз намекаю на то что это надо сделать *стандартом*. Для этого кто-то (например W3C) должен его разработать и форсировать. Ессно что пока основные бравзера его не станут поддерживать, никто (со стороны вебсайтов) не будет этот протокол использовать. С помощью этого варианта можно отучить вебовцев от привычки шпионить за пользователями, например.

Как вариант можно предложить секьюрный код, который получается хешированием (например sha-2) рандомно сгенерированного числа с использованием хеша *юзернейма/логина* пользователя в качестве солта. В чем вся соль тащемта -- этот хеш потом используется при хешировании текущего времени (округлённого например до минут или даже часа) и отправляется при *каждом* запросе на сервер автоматом. К примеру даже перехват траффика не очень поможет зайти на сервер в чужую авторизированную сессию (что сейчас, собственно, делается тривиально перехватывая сами кукушки).
From:Yuri Bichkoff [bichkov.com]
Date:Июль 1, 2012 07:43 am
(Link)
У меня тоже не обновляется (все сервисы и стартапы отключены), но при попытке посмотреть, например, версию Хрома (About Google Chrome) и забывши об этом приколе, получаешь принудительное обновление.

> С помощью этого варианта можно отучить вебовцев от привычки шпионить за пользователями, например.

Ну, будет другой вариант, делов-то. Пока «шпиёнство» очень невинно выглядит за счёт несовершенства протокола HTTP. Следует опасаться как раз «стопроцентной авторизации», IP6, привязок оборудования к человеку и т. п. Иногда я думаю, что американцы специально тянут, не позволяя «режимам» закрутить гайки. Анонимность — это хорошо, на самом деле. И текущая конфигурация веба позволяет оставаться анонимным (до известной степени, конечно).

Этот пассаж относится и к последнему абзацу Вашего поста.

Кстати, описанный Вами механизм авторизации используется довольно часто, особенно, при XMLRPC запросах. Кое-кто (Wordpress, например) идёт по упрощённому варианту, изобретая некие «nonce» с ограниченным временем жизни. Использование мобильного телефона для получения аналога однократного пароля — из этого же разряда. И т. п.

А кто-то просто использует SSL/TLS (как твиттер). И не парится. Перехват трафика совершенно бесполезен в этом случае.
[User Picture]
From:egh0st
Date:Июль 1, 2012 02:10 pm
(Link)
ну SSL это наше всё, да. Гугол тоже форсирует.

Просто пока все сайты на SSL перейдут, много времени пройдет. Тем более что многим будет очень лень еще и сертификаты покупать, а без них пользователям сообщение выдаётся, пугает это их...

From:Yuri Bichkoff [bichkov.com]
Date:Июль 1, 2012 03:39 pm
(Link)
Кстати, сертификаты — это отдельная песня, почище «мистики» с куками. Кто вообще проверяет CA? Убеждается, что зашёл не на сайт, сертификат которого self-signed, а на тот, который хотел?

На стороне провайдера вполне можно установить копии гуглопочтовика (чего угодно) и ловить пароли «тёпленькими». Вместе с лулзами. Кажется, это фишинг (phishing) называется?
[User Picture]
From:egh0st
Date:Июль 2, 2012 02:11 am
(Link)
можно конечно. но состна сертификаты нужны :)

а если self-signed или доменное имя не совпадает с набранным, то бравзер об этом скажет.
From:Yuri Bichkoff [bichkov.com]
Date:Июль 2, 2012 06:44 am
(Link)
Вы честный человек, вижу, не работать Вам в Органах :)

Я говорил о гипотетической ситуации, когда юзер, связанный прямым проводком с провайдером, общается напрямую с его серверами, думая, что «разговаривает» с Интернетом. Со специальными записями DNS, переделанными сертификатами (в надежде, что юзер не проверит CA) и проч. Возможно, это невозможно, но если очень хочется и ресурсы позволяют, то...

Боюсь, мы исчерпали лимит терпения Пионера, далеко отклонившись от темы его поста. Спасибо за беседу, — было очень приятно пообщаться!
Пионер.RU Разработано LiveJournal.com