Комментарии 18
>> используйте стойкие, уникальные пароли везде, особенно на внешних веб-приложениях.
>> Доступ к интерфейсам администрирования сайтом предоставляйте только доверенному списку IP-адресов.
Советы 5летней давности
Авторизация по сертификатам, лучше IPSec.
>> Доступ к интерфейсам администрирования сайтом предоставляйте только доверенному списку IP-адресов.
Советы 5летней давности
Авторизация по сертификатам, лучше IPSec.
ipsec к авторизации не имеет никакого отношения, если что -)
Имеет)
Ох, неужели? И какое же?
Определимся с терминологией:
Идентификация — присвоение чему-либо (пользователям например) идентификаторов, а также получение от чего-либо (пользователя) идентификатора для сопоставления с данными в системе
Самый простой пример — логин
Аутентификация — подтверждение аутентичности идентификатора (права пользоваться этим идентификатором)
Например используя:
— Пароль
— Токен
— Сертификат IPSec
Авторизация — на основании подтвержденного идентификатора предоставление доступа к разрешенным ресурсам системы
Многие реализации IPSec могут авторизовывать пользователей и компьютеры (разрешено-запрещено подключение) на основе данных аутетнификации
Идентификация — присвоение чему-либо (пользователям например) идентификаторов, а также получение от чего-либо (пользователя) идентификатора для сопоставления с данными в системе
Самый простой пример — логин
Аутентификация — подтверждение аутентичности идентификатора (права пользоваться этим идентификатором)
Например используя:
— Пароль
— Токен
— Сертификат IPSec
Авторизация — на основании подтвержденного идентификатора предоставление доступа к разрешенным ресурсам системы
Многие реализации IPSec могут авторизовывать пользователей и компьютеры (разрешено-запрещено подключение) на основе данных аутетнификации
Я рад, что ты все-таки разобрался с терминологией и сделал это меньше чем за сутки. Отличный результат.
Теперь ты знаешь, что ipsec не имеет к авторизации никакого отношения, лишь к аутентификации в некоторых реализациях.
Теперь ты знаешь, что ipsec не имеет к авторизации никакого отношения, лишь к аутентификации в некоторых реализациях.
к аутентификации IPSec имеет отношение всегда
к авторизации — в зависимости от задачи, он МОЖЕТ авторизовать, если этого требует задача
к авторизации — в зависимости от задачи, он МОЖЕТ авторизовать, если этого требует задача
ок, покажи мне реализацию ipsec, которая производит авторизацию.
Реализации этого rfc
tools.ietf.org/html/rfc4301
tools.ietf.org/html/rfc4301
смысл в том, что некоторые вещи остаются неизменными ;)
да, секлаб действительно порой неожиданно (!) удивляет, например — http://www.securitylab.ru/analytics/407323.php
>> Но правда, стойкие пароли к ftp, это же… вызывает улыбку… стойкий пароль который передается открытым текстом…
не соглашусь! пароль действительно передается открытым текстом, но для того, чтобы его перехватить злоумышленнику требуется прослушивать этот трафик, т.е. преодолеть некоторые защитные механизмы. Тут речь больше идет о том, что использовать пароль вида «123» на ftp не является безопасным) И разумеется стоит использовать защищенные протоколы везде, где это возможно.
>> Но правда, стойкие пароли к ftp, это же… вызывает улыбку… стойкий пароль который передается открытым текстом…
не соглашусь! пароль действительно передается открытым текстом, но для того, чтобы его перехватить злоумышленнику требуется прослушивать этот трафик, т.е. преодолеть некоторые защитные механизмы. Тут речь больше идет о том, что использовать пароль вида «123» на ftp не является безопасным) И разумеется стоит использовать защищенные протоколы везде, где это возможно.
Плохая статья, нет ни одного упоминания и скриншота MaxPatrol ((
Не хватает пункта — повышение уровня осведомленности пользователей.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Хроники пентестера