Передача зашифрованных паролей в локалке

zEitEr · Сообщение **zEitEr** » 25.06.2005 11:37

Добрый день!

Стоит форум в локалке.

Отсюда вопрос безопасности.... любой мало-мальский граммотный пользователь может увести сниффером пароль юзверя.

Очевидно, что использование SSL - не самый лучший вариант...

Как вариант, шифрование паролей средствами JS... и пересылка хэша пароля (md5) серверу... Про минусы можно не говорить....

Есть ли для этого готовое решение?

Vladson · Сообщение **Vladson** » 25.06.2005 16:29

zEitEr
Против снифера поможет только его обнаружение и нейтрализация...

zEitEr · Сообщение **zEitEr** » 26.06.2005 6:12

Т.е. получается что?

Даже если пароль будет шифроваться.... JS... то его перехватив злоумышленник со своей формы авторизации перешлет его серверу, который его примет.... и авторизует.... мда уж... что-то сразу и не подумал....

И что тогда без вариантов?

А как обнаружить сниффер?

[R: R@m$e$ :U] · Сообщение **[R: R@m$e$ :U]** » 26.06.2005 6:55

zEitEr
а если локалка на свитчах, то снифер не работает =) так что выкинте ваши хабы =)

zEitEr · Сообщение **zEitEr** » 26.06.2005 7:41

Хорошо, надо будет уточнить у администратора сети... про свичи и хабы...

Я же, как администратор сайта и форума сети... могу сказать, что был, к сожалению, прецедент, к счастью пока только один....

Вход на форум злоумышленником под чужим именем...

Как впредь присечь такое.... я даже и не знаю... вина юзера, что использовал слишком простой пароль... Но даже самый сложный пароль можно выкрасть...

По всей видимости, средствами phpBB и самого сервера Apache никак, да?

[R: R@m$e$ :U] · Сообщение **[R: R@m$e$ :U]** » 26.06.2005 7:57

в принципе... в локалке ip'шники статичные... можно попробовать реализовать вход только с конкретного ip... =)))

crash · Сообщение **crash** » 26.06.2005 7:59

да вообще где гарантия что пароль был уварован снифером? легкий пароль, легко и подобрали)

VVVas · Сообщение **VVVas** » 26.06.2005 10:18

crash писал(а):да вообще где гарантия что пароль был уварован снифером? легкий пароль, легко и подобрали)

Вот это скорее. Есть один форум в локалке - только так всё ломалось, вернее даже простым вопросом "А какой у тебя пароль?", а как бороться - бан по ip на месяц и больше. и всё будет нормально. Они в локалках глупые в инет не ходят, поэтому тебе с посещаемостью проблем не будет. А так научаться.

zEitEr · Сообщение **zEitEr** » 26.06.2005 10:27

[R: R@m$e$ :U] писал(а):в принципе... в локалке ip'шники статичные... можно попробовать реализовать вход только с конкретного ip... =)))

VVVas писал(а):бан по ip на месяц и больше

Организация сети позволяет, увы, любому человеку сменить свой IP...

к MACу привязать IP? Да у нас и МАКи подменивают.... в пределах сегмента сети...

crash · Сообщение **crash** » 26.06.2005 10:29

zEitEr писал(а):Организация сети позволяет, увы, любому человеку сменить свой IP...

а за это морде, докладную директору и т.д.

zEitEr · Сообщение **zEitEr** » 26.06.2005 10:41

Сейчас этот вопрос актуален как никогда.... но увы пока не удается вычислить, как мне говорят админы....

Свичи стоят неуправляемые... ограничения по выходу определенных IP ни на шлюзе, ни на серваках не стоят....

Добавлено спустя 8 минут 53 секунды:

А если.... использовать

Secure Login http://www.phpbbhacks.com/download/3527

и проверять при авторизации реферер... откуда пришел запрос - это же намного усложнит.... работу злоумышленникам?

Vladson · Сообщение **Vladson** » 26.06.2005 14:46

zEitEr писал(а):это же намного усложнит.... работу злоумышленникам?

Немного усложнит, но не остановит если у них серьёзные намерения