Была компания, работали в ней директор и уборщица.
И вот однажды озаботился директор: а что ж это я не как другие, уборщица есть, а бухгалтера чтобы ей зп рассчитывать нет — и нанял бухгалтера. Прошло чуть-чуть времени, подумал директор: ну раз есть бухгалтер, значит финансы как-никак, и нанял финансового директора. Затем охранника, чтобы всех охранять. Затем посчитал как-то раз прибыль, понял что в минусе и уволил уборщицу.
Ну а итогом такой эволюции будет массовый исход пользователей и массовые вынос мозга владельцам ресурса.
Ладно вам про самосохранение, куча ресурсов тематических, для беременных мамаш, для автолюбителей, для черти-кого еще максимально далекого от понятий безопасности. Но вот эти черти-кто и приносят всю основную прибыль владельцам ресурсов. Поэтому как бы ни были глупы пользователи, вводящие свои пароли куда не попадя, со стороны бизнеса намного глупее давать им такую возможность.
Вы правы, это в любом случае безопаснее.
Еще безопаснее если сравнение идет не по запрошенному из базы хэшу, а путем вызова хранимой процедуры, в которой и сама база еще хэш от того что ей дает сервак вычисляет и лишь затем сравнивает.
Но в данном случае речь шла о рутовом доступе, и про считывание пароля я привел в качестве примера. В этом случае хэш не поможет, поскольку если я на стороне сервера считал хэш, ничто не мешает мне на стороне клиента слать вам прямо хэш напрямую через POST запрос (минуя промежуточные вычисления из оригинального пароля). Да, я не буду знать оригинальный пароль, но доступ получу.
А вам не кажется, что имея полный рутовый доступ на сервер хакер может например вписать код в ваш авторизационный скрипт (мы ведь про php говорим), который будет все входы пользователей в какой-нибудь лог складывать? И ему в таком случае вообще ничего подбирать не нужно.
Потому что вероятность слить базу с хэшами и не слить все остальное стремится к нулю :)
Потому что если злоумышленник слил базу с хэшами — вы об этом не узнаете, и ничего не предпримите (в отличии от попытки брутфорса логина). Узнаете когда он ее поломает, а он ее поломает. Социальная инженерия убедительно побеждает любую криптостойкость. Ведь у истоков создания пароля стоит тетя Маша, которая или выдумывает пароли из головы, или записывает выданный ей не читаемый набор букв-цифр-спецсимволов на бумажку.
Хотите безопасности — отключите сервер от сети. Или накупите вот такого рутокен-web и всем пользователя раздайте. И SMS-КИ шлите с временным токеном при логине, как это банкиры практикуют. И таймауты сделайте, и 1000к генерацию хэшей подписей, и капчи. Но все равно гарантий нет. Хотите гарантий — купите тостер :)
Че не так?
Вот сидим мы втроем на одном сером айпишнике, я тетя Маша и дядя Вова. И эдакий гипотетический кулхацкер я запросы регистрации постоянные шлю. А тетя Маша и дядя Вова добропорядочные граждане, сидят и удивляются: а что это нас не пускает, какой-такой постоянный таймаут?!
А не проще чем замедлять генерацию пароля просто сделать таймаут некий полечком в базке например, прикрутить к пользователю и при неверной попытке авторизации выставлять его в N-секунд, скажем 5. А при следующих авторизацию просто читать таймаут этот, и если он еще не прошел — сразу отлуп давать.
Так и сервер грузить не будете излишними вычислениями 1кк хэшэй.
По IP нельзя ограничивать регистрацию. Пользователи, сидящие через серые IP (wifi — adsl — свистки от сотовых операторов) после таких приколов могут и не суметь зарегаться.
зачем же еще. Сложно предположить что будет какое-то более практическое применение этому творчеству (с учетом мега-дыр в безопасности которое это творение открывает).
В бубунте долго сидел на Exaile, пока не поставил серверное ведро, теперь музыка временами лагает (слышны паузы). Пробовал все (как мне показалось) доступные версии.
Поставил клементину, в ней такой хрени не наблюдается. Хотя может быть это я такой невезучий.
Была компания, работали в ней директор и уборщица.
И вот однажды озаботился директор: а что ж это я не как другие, уборщица есть, а бухгалтера чтобы ей зп рассчитывать нет — и нанял бухгалтера. Прошло чуть-чуть времени, подумал директор: ну раз есть бухгалтер, значит финансы как-никак, и нанял финансового директора. Затем охранника, чтобы всех охранять. Затем посчитал как-то раз прибыль, понял что в минусе и уволил уборщицу.
Ладно вам про самосохранение, куча ресурсов тематических, для беременных мамаш, для автолюбителей, для черти-кого еще максимально далекого от понятий безопасности. Но вот эти черти-кто и приносят всю основную прибыль владельцам ресурсов. Поэтому как бы ни были глупы пользователи, вводящие свои пароли куда не попадя, со стороны бизнеса намного глупее давать им такую возможность.
Еще безопаснее если сравнение идет не по запрошенному из базы хэшу, а путем вызова хранимой процедуры, в которой и сама база еще хэш от того что ей дает сервак вычисляет и лишь затем сравнивает.
Но в данном случае речь шла о рутовом доступе, и про считывание пароля я привел в качестве примера. В этом случае хэш не поможет, поскольку если я на стороне сервера считал хэш, ничто не мешает мне на стороне клиента слать вам прямо хэш напрямую через POST запрос (минуя промежуточные вычисления из оригинального пароля). Да, я не буду знать оригинальный пароль, но доступ получу.
www.openwall.com/lists/oss-security/2011/06/20/2
Потому что если злоумышленник слил базу с хэшами — вы об этом не узнаете, и ничего не предпримите (в отличии от попытки брутфорса логина). Узнаете когда он ее поломает, а он ее поломает. Социальная инженерия убедительно побеждает любую криптостойкость. Ведь у истоков создания пароля стоит тетя Маша, которая или выдумывает пароли из головы, или записывает выданный ей не читаемый набор букв-цифр-спецсимволов на бумажку.
Хотите безопасности — отключите сервер от сети. Или накупите вот такого рутокен-web и всем пользователя раздайте. И SMS-КИ шлите с временным токеном при логине, как это банкиры практикуют. И таймауты сделайте, и 1000к генерацию хэшей подписей, и капчи. Но все равно гарантий нет. Хотите гарантий — купите тостер :)
Вот сидим мы втроем на одном сером айпишнике, я тетя Маша и дядя Вова. И эдакий гипотетический кулхацкер я запросы регистрации постоянные шлю. А тетя Маша и дядя Вова добропорядочные граждане, сидят и удивляются: а что это нас не пускает, какой-такой постоянный таймаут?!
Так и сервер грузить не будете излишними вычислениями 1кк хэшэй.
хотя по мне так PHP — лучший шаблонизатор.
$ php -r "echo 'Hello World';"зачем же еще. Сложно предположить что будет какое-то более практическое применение этому творчеству (с учетом мега-дыр в безопасности которое это творение открывает).
Теперь я знаю что сделать со злополучными четырьмя икейскими рамками которые нам ненавязчиво подсунули на новоселье :)
Единственно, очень неудобно читать с телефона скриншоты мессенджера. Неужели нельзя было просто текстом оформить переговоры?
man grep (grep -rl 'pattern' /path/to/files)
Поставил клементину, в ней такой хрени не наблюдается. Хотя может быть это я такой невезучий.