Страницы:Кликните, чтобы указать произвольную страницуназад123
Smith2007: Безопасность форума
Locky
Member
27/37448 ответов
22 года на iXBT, с января 2003
Чаще пишет Р Р† "Консоли" (77%)
Россия, Санкт-Петербург
Инфо Ответить
L
Locky Member
10 лет назад / 01 мая 2015 18:16
Alex Pr
А бывает иначе?
Да https://www.owasp.org/index.php/SecureFlag

Сессия обычно так и работает, на точное совпадение "useragent + id сессии + IP + возможно что-то ещё"
По IP ненадёжно и неудобно для пользователей. Например, при смене IP провайдером слетает аутентификация на сайте.

Тут нужно переделывать так, чтоб требовался повторный ввод пароля (по https) на вход в любой закрытый раздел.
Переделывать ничего не придется т.к. как я понял весь приват будет за HTTPS, т.е. куку никто не увидит.
Общее принцип такой: кука устанавливается на HTTPS ресурсе с флагом secure во время логина. Браузер запоминает куку, но никогда не передаёт её по HTTP протоколу. В дальнейшем любые POST запросы, которые требуют аутентификации (отправка сообщений, модерация и.т.п.), должны уходить на HTTPS url. Соответственно браузер будет в них передавать секретную куку. После обработки сервер может при желании редиректить уже на голый HTTP. Таким образом секретная кука с сессией никогда не передаётся плэинтекстом. Повторный ввод пароля в данной схеме излишен, ну кроме самых ответственных операций вроде его смены.

Просто такая схема (частичное покрытие сайта HTTPS, частичное HTTP) сложнее, а значит дороже и затратнее в поддержке. Поэтому я и писал, что в индустрии сейчас по-умолчанию всё закрывают HTTPS - сделал и забыл, не нужно отлавливать все эти грабли. А граблей предостаточно вылезет.
Alex Pr
unregistered
Ответить
A
Alex Pr unregistered
10 лет назад / 01 мая 2015 18:35
Locky
По IP ненадёжно
Чего-чего? Как раз по IP надёжно, потому что возможна только атака Mitm (сложноосуществимая сама по себе). Без IP дырень.

Общее принцип такой: кука устанавливается на HTTPS ресурсе с флагом secure во время логина. Браузер запоминает куку, но никогда не передаёт её по HTTP протоколу.
И какой общий принцип работы сайта? Две разные куки c разными session id, -- одна для https вторая для http?
Locky
Member
28/37449 ответов
22 года на iXBT, с января 2003
Чаще пишет Р Р† "Консоли" (77%)
Россия, Санкт-Петербург
Инфо Ответить
L
Locky Member
10 лет назад / 01 мая 2015 19:05
Alex Pr
Как раз по IP надёжно,
Ненадежно потому что бывает NAT, прокси, коррумпированные провайдеры и.т.п.. А если брать IP из заголовков HTTP, то вообще труба.
Но основная причина - удобство, при такой реализации галочка "запоминать пароль" теряет смысл и посетители крайне недовольны.

И какой общий принцип работы сайта? Две разные куки c разными session id, -- одна для https вторая для http?
От задачи зависит = насколько персонализирована должна быть публичная часть сайта.
В крайнем случае вторая кука с user id или аналогом, по которому сервер отдаёт страницы, заточенные под конкретного пользователя. Но довольно часто тяжёлая артиллерия не нужна, достаточно лёгкой косметики: указать в куке какие ссылки скрыть / показать, нарисовать никнейм вошедшего в систему пользователя и.т.п. Можно делать даже на клиентской стороне скриптами, по желанию. Главное, чтоб эти куки не содержали никакой аутентификационной информации.
Locky
Member
29/37454 ответов
22 года на iXBT, с января 2003
Чаще пишет Р Р† "Консоли" (77%)
Россия, Санкт-Петербург
Инфо Ответить
L
Locky Member
10 лет назад / 02 мая 2015 15:54
А вот так любимые провайдеры глумяться над теми, кому "нечего скрывать" http://habrahabr.ru/post/257133/
HTTPS даже на публичных ресурсах становится базовой необходимостью.
Mokshin
Member
8/279 ответов
12 лет на iXBT, с августа 2012
Чаще пишет Р Р† "OС и сист. ПО" (21%)
Россия
Инфо Ответить
M
Mokshin Member
10 лет назад / 02 мая 2015 16:22
Locky
HTTPS даже на публичных ресурсах становится базовой необходимостью.

В вышеуказанном случае достаточно NoScript или его аналогов. Остальным вообще нет дела до каких то там появившихся тулбаров, они вообще их не заметят.
Locky
Member
30/37455 ответов
22 года на iXBT, с января 2003
Чаще пишет Р Р† "Консоли" (77%)
Россия, Санкт-Петербург
Инфо Ответить
L
Locky Member
10 лет назад / 02 мая 2015 16:29
Mokshin
В вышеуказанном случае достаточно NoScript или его аналогов
на iPad'e?
Mokshin
Member
9/280 ответов
12 лет на iXBT, с августа 2012
Чаще пишет Р Р† "OС и сист. ПО" (21%)
Россия
Инфо Ответить
M
Mokshin Member
10 лет назад / 02 мая 2015 16:31
Locky
на iPad'e?

А вы против импортозамещения?
Locky
Member
31/37456 ответов
22 года на iXBT, с января 2003
Чаще пишет Р Р† "Консоли" (77%)
Россия, Санкт-Петербург
Инфо Ответить
L
Locky Member
10 лет назад / 02 мая 2015 16:41
Mokshin
А вы против импортозамещения?
На ЕС ЭВМ секса http нет.
Mokshin
Member
10/281 ответов
12 лет на iXBT, с августа 2012
Чаще пишет Р Р† "OС и сист. ПО" (21%)
Россия
Инфо Ответить
M
Mokshin Member
10 лет назад / 02 мая 2015 16:52
На ЕС ЭВМ секса http нет.

Иных уж нет, а те далече.
Alex Pr
unregistered
Ответить
A
Alex Pr unregistered
10 лет назад / 02 мая 2015 21:12
Locky
Ненадежно потому что бывает NAT, прокси...
Много чего бывает, могу перефразировать, повторяю, без IP будет дырень. Если не согласны, предложите свой вариант для http, чтоб безопасно и без IP.

От задачи зависит = насколько персонализирована должна быть публичная часть сайта.
В общем случае да, но в частном случае мы про форум говорим, здесь же всё персонализировано.


Mokshin
В вышеуказанном случае достаточно NoScript или его аналогов.
С NoScript в 2015-ом году в итернетах делать нечего.

Остальным вообще нет дела до каких то там появившихся тулбаров, они вообще их не заметят.
Пока у пользователя всё хорошо, конечно ему нет дела. Когда уведут данные, тогда будет поздно.
Mokshin
Member
11/282 ответов
12 лет на iXBT, с августа 2012
Чаще пишет Р Р† "OС и сист. ПО" (21%)
Россия
Инфо Ответить
M
Mokshin Member
10 лет назад / 02 мая 2015 23:21
Alex Pr
С NoScript в 2015-ом году в итернетах делать нечего.

Наверняка давно не использовали. Как раз наоборот, без него - везде помойка.

Когда уведут данные, тогда будет поздно.

Ну какие здесь данные, право, не стОит. Вот когда уведут деньги, тогда чесаться начнут, но мы же обсуждаем данный форум. Здесь есть деньги?
Alex Pr
unregistered
Ответить
A
Alex Pr unregistered
10 лет назад / 02 мая 2015 23:52
Mokshin
Ну какие здесь данные, право, не стОит. Вот когда уведут деньги, тогда чесаться начнут, но мы же обсуждаем данный форум. Здесь есть деньги?
Тогда и обсуждать нечего
KOLANICH
unregistered
Ответить
K
KOLANICH unregistered
10 лет назад / 12 мая 2015 22:36
Подозреваю, что всё это из-за самописного движка, который выглядит так, как будто почти не менялся с 200x года (из изменений в основном заметна поддержка openid и oauth) и который лень менять.
Отседова предлагаю
0 выкинуть эту рухлядь на свалку и поставить нормальный движок
1 импортировать туда скриптом всю инфу со старого
2 наконец перестать хранить пароли открытым текстом
3 запилить нормальную авторизацию через srp
4 запилить https с pkp и pfs
Тойво Глумов
Member
24/2031 ответов
18 лет на iXBT, с августа 2006
128 фото на iXBT.photo
Чаще пишет Р Р† "Эл. устройства" (51%)
Объединённые Арабские Эмираты, Абу Даби
Инфо Ответить
о
Тойво Глумов Member
10 лет назад / 15 мая 2015 01:15
KOLANICH

Касательно пункта ноль --- чемодан, вокзал, счастливая жизнь.
А нам оставьте один из немногих удобных форумов.
К этой теме 19.08.2017 02:17 MN подклеил сообщения из темы "Предложения" (автор: Шерлок)
birdie
Member
86/4033 ответов
18 лет на iXBT, с мая 2006
Чаще пишет Р Р† "Кино" (40%)
Инфо Ответить
birdie Member
  7 лет назад / 19 августа 2017 00:05
Когда будет https?

Я не знаю больше не одной серьёзной конфы в инете, которая раздаётся по http.

В 2017 стыдно должно быть за такое.

Let's encrypt сертификаты уже 2 года бесплатно выдают - ешь, не хочу.
Mokshin
Member
12/1266 ответов
12 лет на iXBT, с августа 2012
Чаще пишет Р Р† "OС и сист. ПО" (21%)
Россия
Инфо Ответить
M
Mokshin Member
7 лет назад / 04 сентября 2017 10:05
birdie
В 2017 стыдно должно быть за такое.

Объясните, будьте любезны, для чего вам лично на этом форуме нужен https? Что бы было?
Bingo
Member
14/2264 ответов
12 лет на iXBT, с мая 2012
Чаще пишет Р Р† "Политика" (88%)
Инфо Ответить
B
Bingo Member
7 лет назад / 21 сентября 2017 23:18
Прелестно

407x270, 22.7Kb


Чья идея, кто майнит за счет пользователей? На скриншоте страничка формы ответа.
SavageNoName
Member
292/3051 ответов
22 года на iXBT, с мая 2002
Чаще пишет Р Р† "Тех. поддержка" (32%)
Web-страница
Инфо Ответить
S
SavageNoName Member
7 лет назад / 22 сентября 2017 00:07
идея, скорее всего, Ваша. чем рекламу режете? поговаривают, что, как минимум, одно из расширений Хрома (и оперы, как его дочери) давным давно сломано и в него внедрён майнер. а вообще, хорошая идея для редакции: "тихий" автодетект баннерорезок и выдача вместо рекламы майнера. пиратбей на днях протестировал. работает.
Bingo
Member
15/2265 ответов
12 лет на iXBT, с мая 2012
Чаще пишет Р Р† "Политика" (88%)
Инфо Ответить
B
Bingo Member
7 лет назад / 22 сентября 2017 08:58
SavageNoName
Ничем. Сам не люблю наглецов, которым любая реклама поперек горла встает. Читал про пиратбей, тоже идея понравилась, но с условием, скрипт работает у тех ,у кого банерорезка стоит.

автодетект баннерорезок
Здесь плохой детектор. В чистой Опере частенько хрень вместо сообщений, и наоборот мазила с адблоком спокойно гуляет.
Махмуд Отар-Мухтаров
Member
813/127085 ответов, #4 в рейтинге
21 год на iXBT, с марта 2003
4423 фото на iXBT.photo
Чаще пишет Р Р† "Флейм" (56%)
Россия, Москва
Web-страница
Инфо Ответить
Махмуд Отар-Мухтаров Member
2 года назад / 14 декабря 2022 17:15
MN

На страницах конференции в верхней линеечке со ссылками на проекты iXBT ссылка на "Фото" ведёт на http версию сайта (хотя есть https версия). Остальные ссылки вроде как ведут на https сайты. Думаю, стоит поправить.

800x55, 14.9Kb
MN
Администратор конференции
6849/18072 ответов, #1 в рейтинге
24 года на iXBT, с июня 2000
Чаще пишет Р Р† "О Конфе" (38%)
Россия, iXBT
Web-страница
Инфо Ответить
M
MN Администратор конференции
2 года назад / 14 декабря 2022 17:54
Махмуд Отар-Мухтаров
Хм, а можно пример, где это так? Вот на этой странице линк на https версию.
Махмуд Отар-Мухтаров
Member
815/127090 ответов, #4 в рейтинге
21 год на iXBT, с марта 2003
4423 фото на iXBT.photo
Чаще пишет Р Р† "Флейм" (56%)
Россия, Москва
Web-страница
Инфо Ответить
Махмуд Отар-Мухтаров Member
2 года назад / 14 декабря 2022 19:11
MN

Сейчас проверил - переход по ссылке https://ixbt.photo. Мистика какая-то. Прежде чем отправить пост проверил как раз на этой странице. Я думал вы поправили.

Последние пару месяцев каждый рабочий день добавляю по паре фотографий в галерею. Захожу туда по ссылке на линейке проектов (обычно со страницы 99-го форума). В адресной строке отображалось незащищенное соединение. Сегодня поправил адрес в адресной строке - всё стало хорошо. Решил сообщить здесь. Сначала проверил все ссылки на линейке, убедился, что только одна из них ведёт на http, и только после этого написал пост. Жалею, что не делал скриншоты.
Ваш ответ:

Нет значка Нет значка Р’РѕС‚ тут! Лампочка Восклицание Р’РѕРїСЂРѕСЃ Класс! Улыбка Злость Огорчение РџРѕРіРѕРІРѕСЂРёРј? Краснею Подмигивание Ругаю РћРґРѕР±СЂСЏСЋBIUdelSxsupxsuboffsp spoilerqurlimgvideo• list1. list1 codeprecenter-hr-rusQWE→ЙЦУ
файлыочистить
Ваше имя: Авторизуйтесь Предпросмотр В полную форму
вставить выделенную цитату в окно ответа
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Страницы:Кликните, чтобы указать произвольную страницуназад123
18:42В России впервые предлагают новейшие 230-сильные Kia Sportage 2025 X-Line
18:3727 спутников Starlink застряли на Земле: самолёт Delta вторгся в зону запуска за 11 секунд до старта
17:46Hyundai Elantra/Avante 2025 впервые начали продавать в России — недорого
17:45Немецкий стартап RFA получил первую лицензию на орбитальные запуски с материковой Европы
17:31«Если Iskra, то должна быть красная». Самая первая Lada Iskra, которую представили публике, прошла очень непростой путь: в чёрном цвете машина не понравилась руководству
16:57В России анонсировали флагманский кроссовер Omoda C7 — он должен оказаться очень тихим
16:54Самый мощный Jeep Wrangler в России: 6,4-литровый двигатель V8 SRT Hemi на 481 л.с., лютая динамика, полный привод, усиленные мосты
16:43Вместо седана Mercedes-Benz E-класса, кроссоверов GLE и GLS в России начали выпускать кроссоверы Exeed RX и TXL: их засняли на фото прямо на заводе
16:29Китай планирует освещать Луну лазерами: новый подход к энергоснабжению космических аппаратов
15:51Представлены Skoda Superb 2025 и Octavia RS 2025