Доброго дня.

Вроде никто еще эту тему не поднимал, но менее важной от этого она не становится.

Насколько я вижу, ввод пароля/юзернейма на форуме и передача серверу происходит в открытом режиме, без исползования хэшей или шифрованного туннеля (честно говоря, сам трафик не снифал, но судя по моему браузеру, это так ))

Вопрос не праздный, потому что прекрасно известно, что просто замена например хабов на свитчи в локалках не способна защитить нас от ARP poisoningа и прочих mitm атак.

Я вот, например, не могу быть на 100% уверен в админе прокси-сервера, которым пользуюсь в офисе, и т.д. и т.п.

К чему весь этот набор букв?
Очень хочется, чтобы был включен https на форуме при аутетификации.

зачем?

Чтобы не передавать пароль в открытом виде для других, вроде объяснил.

Тебе, думаю, известно, что у многих людей пароли на форум и в другие более критичные сайты (или в ту же аську, которую здесь же и указывают) часто совпадают.

ИУ8?

3-я группа ))

Да мы вроде с тобой говорили на тему Alma mater:))
Ещё когда кто-то там писал о переводах криптографии для варфа )

Тоже кстати был в третьей группе.

Даже умудрился оставить зачетку себе на память!!!

Ps: И у меня пароль форума с паролем аськи не совпадает

Я отмучился еще пару лет назад

Не сомневаюсь ) И то, что он не меньше 8 символов

Возвращаясь к теме:

Какие препятствия? Ip.Board не может из коробки или плагинами?

1. Понятия не имею возможно ли зашифровать только процесс авторизации на форуме и разбираться с этим не хочу. Мне это не нужно. Если этого сделать нельзя и придется шифровать весь трафик, то я однозначно против. Это создаст существенную нагрузку для сервера.
2. Есть бесплатные 3-х месячные сертификаты, но не факт, что такие останутся завтра + это нужно регулярно пасти. Нормальный дешевый сертификат сейчас можно подписать за 4000 рублей в год. Был бы смысл его покупать, а ставить неподписанный сертификат как-то совсем по детски.
3. Навскидку даже не припомню ни одного форума с авторизацией по ssl, хотя почему бы им и не быть.

Если настройки форума не меняли, то сейчас используются безопасные пароли, которые в большинстве случаев не позволяют воспользоваться слямзенным идентификатором сессии, привязывая его к адресу хоста. Шифрование же трафика обычно начинают применять когда высокий риск последствий от утечки передаваемых данных. В обычной жизни это как правило финансовая информация, платежи и т.д. К нашему форуму это имеет весьма и весьма отдаленное отношение. Если есть подозрение на компрометацию пароля, то его можно сменить средствами самого форума. В случае же если есть данные, которые нежелательно разгласить, то рекомендую форум и блоги для их хранения не использовать. Мы здесь просто общаемся. Других более серьезных задач пока не ставилось.

У нас так, "по-детски" у главного городского провайдера

И все равно, правильно делают, что трафик-то шифруется в "рабочем столе",а на форуме этого нет.

В плане безопасности, сейчас сертификат сайта не так уж много стоит (по крайней мере те, что с MD5) http://www.securitylab.ru/analytics/365717.php



Обычному юзеру всё это "до фени", менять и запоминать разные пароли - недосуг, большинство использует общие для разных сервисов.
А так просто увеличивается риск и легкость "увода".

Ок, будем ждать прецедентов

помоему нафиг не надо )

у меня пароли ни где не повторяются, мне не актуально.

А чего их ждать-то? И каких прецедентов? Нечего на форуме вести переписку, которую рискованно потерять. Если кто-то ведет, то это проблемы этого человека.

зачем так усложнять жизть себе и другим, и искать проблему на пустом месте?...))


если прям так критично совпадает, то поставьте себе пароль на форум 1234 и никто не узнает пароли от вашех асек и более критичных сайтов))

Ты, возможно, не так меня понял, фиг с ней с перепиской, и спамом на форуме, вот совпадающие пароли (форума и до кучи других нужных сервисов) - это действительно факт в жизни большинства.



Мне лично это не грозит, я - за идею
А орг. мерами такие вещи никто решать не может в принципе

Просто шанс подарить кому-то пароль при авторизации ? И о ужас - этот пароль у того парня один на всё, включая запуск межконтинетальных ядерных ракет? И ради этого городить огород с сертификатами? Да фих с ней с той америкой Мне представляется, что тот парень идёт в сад

Пофигисты вы, ну да ладно)

есть самоподписные сертификаты, которые защищают каг бэ тоже вполне.
всё это настраивается при желании ну минут за 20.

необходимость поддерживаю.

Считаю защиту процесса ацтентификации на форуме паранойей.
Нет, никого не хочу обидеть.
Просто так ли это важно?

Главное правильно оценить стоимость результата к стоимости затрат на его достижение. Это относится как к защите (а что мы получим если усложним процесс?) так и к атаке (а стоит ли пытаться взламывать?).
Истина лишь одна - взломать можно все, что угодно. Абсолютно надежных систем не существует. Вопрос в цене.

А зачем?

Всё это очевидно.

Я не занимался доводкой нашего форума, поэтому может неточно оцениваю трудоемкость доработки, но, по-моему,усилия для подкрутки https - очень невелики,

а чтобы стащить ваш личный пароль даже в локалке на свитчах, школьнику сейчас достаточно скачать и запустить одну программку под Windows (в общем случае).

Я не люблю, когда крадут мои пароли (даже те, которые мне жизненно неважны).

А ты?

Самоподписные не защитят от первоначальной подмены адреса, но это действительно, паранойя ))

А канал-то передачи , конечно, хотя бы так закрыть хорошо бы, согласен.

был ли хоть один прецедент кражи пароля ? более чем за 5 лет жизни форума
чот мне подсказывает что ниразу ....

а от параноии лечиться нужно, а не навязывать её более мене адекватным человекам.

"Чот тебе" подсказывает?
Или ты действительно владеешь информацией обо всех возможных прецедентах?

Если "чот подсказывает", то лечится надо не от паранойи.

Были моменты, когда пользователи писали от имени другого, незакрывшего свою сессию на чужом ПК.
Тогда каждому ещё надо бронижилеты выдавать, ибо можно под пыткой выведать пароль.

Это т.н. "женский аргумент".

Давайте реально оценивать, что может случится, а что не может.

Что можно действительно сделать из-за желания "насолить", а из-за чего не будешь заморачиваться.

я к тому что нахрена делать защиту от мифической угрозы?
да у меня есть информация, что пароли небыли украдены ниразу, докажи обратное

Нафиг ты мне сдался К тебе у меня вопросов больше нет.

При желании можно найти соответствующие статьи, с примерами как это делается, большинство пользователе, если хочет всегда может повторить.

Что ж у вас тут такого ценного???
(ищу Администратора для покупки пароля, поделюсь награбленным)

дык найди сделай, создай прецендент пусть все обосруцца и будут ныть и требовать ссл, хотя лично мне плевать на пароли которые я юзаю на всяких говнофорумах.

Смотря для кого и смотря что.
Про совпадение паролей форума и др. сервисов уже писал.

Больше энергии тратиться на обсуждение целесообразности процедуры, чем на ее проведение

Пойду займусь чем-нибудь, более полезным.

Скажи, а зачем ты тогда пишешь на говнофоруме в этой теме, если тебе плевать на эту проблему?

У тебя есть что сказать по делу? Или просто хочешь поделиться своим остроумием?

просто зачем напрягать людей делать какойто бестолковый бред, када можно сделать что-нибудь полезное?

мне не плевать на эту проблему я высказал своё мнение по этой проблеме.

2iNs:
Попроси права админа и сделай. Хватит ныть.

Согласен, что у большинства народа пароли различных сервисов совпадают. Но это их проблема, так же как и то, что они ведут и могут потерять важную переписку... Нет мозгов - есть проблемы.
Безопасную аутентификацию поддерживаю, но на стенку лезть из-за этого не стоит. Вообщем моя позиция как всегда: истина посредине, комрады!

Тут налицо недопонимание:

Меня данный вопрос "волнует" скорее как специалиста по ИБ (поскольку "дыра" очевидна), чем как пользователя с форума.

Лично сам я : "не ною", не боюсь, не страдают паранойей, сплю спокойно, ем вовремя и не буду сильно переживать если потеряю аккаунт на форуме, поскольку последние полгода сижу здесь не особо часто.

Просто удивляет желание встречать в штыки вопрос, с одной стороны актуальный, с другой стороны - решаемый за короткий срок.



Немного отойду от темы.
А у тебя ничего не совпадает?

Тут в общем-то два варианта:
1) Или пользователь имеет для каждого сайта уникальный пароль и хранит их где-то (бумажка, почтовый ящик, зашифрованный контейнер на ПК, специальный веб-сервис), в общем секретное место, куда имеет доступ только он сам.

2) Или эти пароли так или иначе совпадают.

Возьмем пароли обычного для нас пользователя :
почта (и не одна), корпоративная почта, аська и другие мессенджеры, вконтакте, одноклассники или любые другие социальные сети, форумы, блоги, доски объявлений, любые сайты где общается, интернет-магазины, где регистрируются при заказе товаров, какие-то корпоративные информационные системы при работе, пины пластиковых карточек и телефонов, авторизация операционной системы ПК, продолжать?

Очень сомневаюсь, что нормальный человек сможет всё это разное запомнить одновременно.

Так что, то, что совпадает - это нормально.

на всех форумах использую один и тот же логин/пароль и за 4 года никто ничего не утащил. А почему? Да потому что никому не нужна эта убогая учетная запись. Сопрут и пофигу - зарегаю новую.

идея абсолютно лишенная смысла

Хеш тоже расшифровывается не так уж долго -)
Если задаться целью, то https тоже не спасёт... методов угона очень много) Сниффер - это самое простое...

Насчет "расшифровки" хэша - жжошь

Хэш нельзя расшифровать

Даже с учетом известных криптографических проблем с MD5 и SHA-1, прямое получение обратных значений, за гранью возможностей фактически всех вычислительных систем. Да и здравый математический смысл подсказывает, что таких обратных значений будет ни одно, и не сто.

Хэши никто не расшифровывает, а подбирают по словарю или брутфорсят подряд по простым паролям (до 5 символов, это просто максимум).

Но вот это - действительно личные проблемы человека,и не вопрос к технической организации авторизации.


По поводу угона HTTPS потребуется не просто сниффер, а полная подмена сеанса, да и предупреждающих сообщений почти наверняка не избежать.

Под "расшифровкой" я это и имел ввиду... -)


А можну копнуть базу mysql... инъекция или эксплойт... тут уже не от юзера зависит)

Ты скажи лучше, что мы получим если по хттпс будем подключаться? ну кроме набора лишней буквы.

надо еще КриптоПРО УЦ поставить и использовать ключики eToken

1. Придерживаюсь позиции dm'а. Вы готовы скинуться и купить железку помощнее? Трещать-то можно сколько угодно.
2. Ни где больше не видел безопасной авторизации.
3. Слово паранойя достаточно субъективно. Но вот лично для себя возжелать эдакого было бы паранойей.

Ты еще предложи сервер точного времени поднимать, и аттестовать компьютеры, чтобы была юридическая значимость

1) букву лишнюю набирать не придется, перекинуть при авторизации и вернуть нормальный http после входа

2) https даст просто шифрованный канал, и пароль сможет стащить только заморочившись, подкованный человек, а не любой скучающий школьник, как сейчас. Вот и вся разница.

3) нагрузка на железо заментно не вырастет, так как https только при первоначальной авторизации, потом обычный http.
Покольку session hijacking на порядок сложнее, школьник не сделает, да и потом пароль это все равно не даст, так что дальше заморочек никаких не нужно.

Нигде?
Первое, что в голову пришло: форум Античата.ру, gmail.com, Яндекс.Почта

во вас прет, ребята.

Лучше бы пришло решение 1-го пункта. Иначе получается последнее предложение 1-го же пункта.