Комментарии 20
не очень ясно причем тут опять-же web 2.0, всегда были сервисы которые авторизовали пользователя по кукам (mail и т.д., при этом во многих из них есть функция - "запоминать меня", или "запоминать меня на N дней" которая по умолчанию отключена - это к вопросу о хранении ID в течении бесконечного времени). Сервисы которые заботятся о безопасности (к примеру тот-же хабр) привязывают этот id к ip пользователя.
Короче совершенно неясно причем тут именно сервисы web.2.0
Короче совершенно неясно причем тут именно сервисы web.2.0
Это получается уязвимость WiFi, а не Web 2.0 или я чего-то не понимаю?
Кстати в статье не уточняется был ли зашифрован канал WiFi. Потому как если не был — то это не "фундаментальная уязвимость", а детский сад.
НЛО прилетело и опубликовало эту надпись здесь
>If you access those services using public Wi-Fi
Здесь скорее виноват протокол WI-FI а не web-2.0.
Разработчики постоянно изобретая мега девайсы забывают о безопасности. А 802 как был дырявым так наверняка еще долгое время им останется
Здесь скорее виноват протокол WI-FI а не web-2.0.
Разработчики постоянно изобретая мега девайсы забывают о безопасности. А 802 как был дырявым так наверняка еще долгое время им останется
Дваноль прикрутили сюда за уши и откровенно через задницу. Вообще гакеры травмируют мой моск - это вспоминая историю про сольницу в столовой.
Прием, использованный при формулировке темы топика, называется "Демагогия" - т.е. расстановка заведомо ложных акцентов при подаче информации для достижения тех или иных интересов.
Вроде бы, все сказанное - правда, да не совсем.
Упомянули ВайФай чуток... и давай про ненадежность кук разглагольствовать...
Будто куки из 2.0 чем-то принципиально отличаются от всех остальных...
Да нет - те же куки... только в профиль.
Вроде бы, все сказанное - правда, да не совсем.
Упомянули ВайФай чуток... и давай про ненадежность кук разглагольствовать...
Будто куки из 2.0 чем-то принципиально отличаются от всех остальных...
Да нет - те же куки... только в профиль.
Хм, я в вопросах безопасности не очень разбираюсь, но, насколько я понял описание уязвимости, она не будет работать, если используются одноразовые сессии, то есть при каждом заходе на страницу сайта пользователю назначается новая кука с новым ID, а именно так и делается на большинстве серьёзных сайтов...
что значит "при каждом заходе на страницу сайта" ? наверно имеется ввиду каждый новый заход после закрытия браузера, или-же истечения времени действия куки ?
а то если выдавать id "при каждом заходе на страницу сайта" смысл этого id совершенно теряется.
а то если выдавать id "при каждом заходе на страницу сайта" смысл этого id совершенно теряется.
При одноразовых сессиях в куках нет необходимости вообще
Объясняю как все это связано.
Web 2.0 подразумевает использование AJAX.
И в большинстве его реализаций данные посылаются не через защищенное соединение (SSL) и по этому их относительно просто перехватить.
WiFi здесь приведен как пример одной из опять-таки слабо-защищенный сетей, в которой злоумышленник может перехватить данные пользователя (сниффером), а тк они не защищены (читать выше), то и получить доступ к конфиденциальной информации на сервере.
Web 2.0 подразумевает использование AJAX.
И в большинстве его реализаций данные посылаются не через защищенное соединение (SSL) и по этому их относительно просто перехватить.
WiFi здесь приведен как пример одной из опять-таки слабо-защищенный сетей, в которой злоумышленник может перехватить данные пользователя (сниффером), а тк они не защищены (читать выше), то и получить доступ к конфиденциальной информации на сервере.
А если он получит кукисы от вашего OpenID сервера... Меняйте фамилию, пол и место жительства. :)
Как говорят у нас в народе - волков бояться в лес не ходить, пароли на ящик высылаются уже давно и я сам ломал один форум взломав ящик админа и попросив туда пароль с форума.
Как говорят у нас в народе - волков бояться в лес не ходить, пароли на ящик высылаются уже давно и я сам ломал один форум взломав ящик админа и попросив туда пароль с форума.
Целесообразность воровства cookies, тем или иным способом, падает практически до 0 при использовании session_regenerate_id() при каждом запросе на сайт.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В сервисах Веб 2.0 хакеры нашли «фундаментальную уязвимость»