Автор Тема: Ваш пароль - ваша безопасность.  (Прочитано 48923 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Spyder

  • Авторитет
  • *****
  • Сообщений: 142
  • Репутация: 0
  • Пол: Мужской
    • Просмотр профиля
Re: Ваш пароль - ваша безопасность.
« Ответ #30 : Марта 14, 2005, 01:16 pm »
Давайте может еще и всем свои пароли скажем...  >:(
[spd]

*...cry in oblivion...*

  • Авторитет
  • *****
  • Сообщений: 683
  • Репутация: 0
  • Пол: Женский
  • Жизнь - секунды, вечность - мегагерцы... (SOFTY)
    • Просмотр профиля
Re: Ваш пароль - ваша безопасность.
« Ответ #31 : Апреля 10, 2005, 04:56 am »
Угу, вот весело-то будет. Все пароли будут известны. И не повезло самым примерным в чате!
cry on oblivion | SOFTY
Wer weiss schon was ich denke ?
Was ich fuhle - Wer ich bin
Wer weiss schon wie ich lebe ?
Wen ich liebe- Was ich bin
Wer spricht ? Wer sagt ich luge ?
Was ich denke - Was ich fuhle
Wer lebt mit meiner Seele ?
Bin ich es oder Du ?

Гордый_птичка

  • Гость
Re: Ваш пароль - ваша безопасность.
« Ответ #32 : Июня 11, 2005, 08:04 pm »
А лучше как можно чаще менять пароль и не записывать его.

procool

  • Участник
  • **
  • Сообщений: 7
  • Репутация: 2
    • Просмотр профиля
    • http://www.procool.ru
Re:Ваш пароль - ваша безопасность.
« Ответ #33 : Июля 12, 2005, 09:20 am »
Чем сложнее пароль, тем меньше вероятность его взлома.

Ты говоришь людям - Придумывайте сложные пароли и вас не взломают!
А почему сам не беспокоишься о безопасности их паролей?

У меня под контролем около 130 сервисов с шелдоступами, и в голове около 60 паролей, - таких какими ты их описал - 8 символов, рендомом отгенеренных, с учетом регистра и спецсимволами.

Признаться, - меня парит всех их помнить. Но записать на бумажке совесть не позволяет.

И, регистрируя себе эккаунты в разных местах, не столь важных как эти сервисы, - я часто использую одинаковые пароли.
Например во многих бесплатных почтовых службах, форумах, в том числе в этом чате - там, где я боюсь оставлять свой пароль, я использую не очень сложный набор символов(ну их несколько но они просты), для простого его запоминания.

Я не вижу смысла оставлять серьезный пароль здесь хотя бы потому, что он храниться здесь в открытом виде.
То есть используя данные на сервере, даже если он и закодирован - его лего можно раскодировать. - Об этом говорит служба высылки его на емейл пользователю в случае утраты.
Наверное было бы резонно при забитии пользователем его пароля - генерировать новый, и отсылать ему именно его на почту:)


Как правило, серьезные люди бояться доверять свой пароль в открытом виде даже администораторам сервиса. Например за тем чтобы случайно ломанув БД - хакер не посмотрел исходный вариант этого пароля, а увидел только какую-либо шех функцию составленную по алгоритмам однонаправленного кодирования sha1, или ему подобного.

Но это пол беды.

я очень советую тебе посмотреть внимательно на один интересный сайт -портал, коим пользуютьбся многие сотни людей всего мира.
Это - http://www.livejournal.com/
Посмотри исходный код страницы этого сайта - раздел ввода имени пользователя и пароля.
Я признаться от них такого не ожидал - очень примечательная система! меня это очень приятно удивило.
Вот кусочек тамошнего JS:
    var pass = loginform.pass word.value;
    var chal = loginform.logi n_chal.value;
    var res = MD5(chal + MD5(pass));
    loginform.logi n_response.val ue = res;
    loginform.pass word.value = "";  // dont send clear-text password!
    return true;
Где то выше вроде подключался script, в котором наверняка есть функция MD5. Попробуй коли время будет - поиграйся.
Меня например мало устраевает эта радужная перспектива - отсылки пароля в открытом виде по большому и злому интернету:)) -  думаю ты меня понимаешь.

Далее, хочу отметить возможность перехвата сессии. Маловероятно - но я бы на твоем месте менял её по ходу просидания юзера в чате.
Скажем - на стадии отмирания старой сессии юзера по времени её максимально возможного существования, - за сколько то минут до этого, на юзера создаеться вторая валидная сессия, и при очередном обновлении какого-либо из авторизованных фреймов(использующих сессию) выдаеться юзеру.
Далее по возможности в течении этого времени - она меняеться во всех фреймах в которых используеться(к тому же у тебя всё равно поток сообщений обрываеться и рефрешеться раз в какое-то время. так что ему это не навредит я думаю), и полностью заменяеться на новую.
Вот такой вот процесс изменения сессий.
Это решит две проблемы:

1) ники подвисшие на прокси(или просто подвисшие) - будут вылетать(если было) и не будут тонну раз заходить при оновлении списка ников(хотя возможно утебя эта проблема решена по иному). Вместо этого им по истечении действия старой сессии будет писаться о её невалидности.

2) будет увеличенна безопасность твоих пользователей.

Кстате говоря о безопасности возможно было бы резонно перевести всех на ssl. Учитывая тот факт что ты пользуешься сервером apache, это сделать очень не сложно - просто включив подержку mod_ssl и отредактировав конфиг.
В этом кстате весомый плюс твоей архитектуры:)

Ну и последние - я когда -то об этом уже говорил - ты бы ввел хотя бы подтверждение по email о регистрации - о картиночках я вообще молчу)

Картинки просто сделать - можно их заранее нарезать, и выдовать - а не компоновать кажд раз imagemagic-ом:)
хотя это уже технологические подробности в которые я вдаваться не хочу.

Ну и это, . типа пост скритоп: тым сделал единую авторизацию в форуме и в чате, .. подпилил бы форум - наверняка не сложно:)

regards, procool@

(задумчиво) а модем мой всё шумит и шумит...

Real

  • Хозяин
  • Авторитет
  • *****
  • Сообщений: 1191
  • Репутация: 151
  • Пол: Мужской
    • Просмотр профиля
    • D.J.Real`s Music
Re: Ваш пароль - ваша безопасность.
« Ответ #34 : Июля 12, 2005, 05:10 pm »
Я лишь хотел призвать юзеров к использованию более сложных паролей чем 111, 123 и все в этом духе.

Такие навороты как ты описал, тут просто не нужны, это ведь просто чат....а не какая либо коммерческая система...

procool

  • Участник
  • **
  • Сообщений: 7
  • Репутация: 2
    • Просмотр профиля
    • http://www.procool.ru
Re: Ваш пароль - ваша безопасность.
« Ответ #35 : Июля 13, 2005, 10:43 am »
Я лишь хотел призвать юзеров к использованию более сложных паролей чем 111, 123 и все в этом духе.

Такие навороты как ты описал, тут просто не нужны, это ведь просто чат....а не какая либо коммерческая система...

Ты будешь смеяться))
меня вчера ломанули)
форум от ikonboard, последний. пропатченный.
Вот я со своей стороны не позабоитился о том чтобы граммотно настроить apache server - тоесть загнать его в jail, или хотя бы в chroot, не использовал suexec, не ставил ограничения на процессы, память , не ограничивал интернет исходящий с сервера.
И самое дурацкое - не читал рассылку bugtrack maillist;
И что получилось? - черезх мой форум через его дыры - меня внаглую атаковали. даже не так.
Меня как шлюху использовали для рассылки мейлспама)))

В этом форуме оказалась дыра след. характера:
можно создавать файлы там где это можно юзеру nobody; можно просматривать какие-то файлы, можно запускать созданные файлы - притом это делает сам скрипт форума(ненаю уж чем - пайпом или еще как) и можно силами скрипта форума коннектиться!!!!!!!!!!! - к другим удаленным хостам.

Тоесть это абзац.
притом полный:)

В результате были написанны и загруженны скрипты(приитом с виндовых машин:) в /tmp от корня, и запущены там.
Это VPS Virtuozzo - от rusonyx.ru - и там у меня рутовый шелл.
вот была потеха когда мне вырубили машину и написали письмо о том что мой сервер поддался атаке!
прелесть то какая))
обосрали - обтекай как говориться.

Если бы я поставил защиты о которых написал выше (в этом сообщении в начале) - ничего б у злоумышленников не получилось, а я бы тут же отфильтровал ситуацию, понял бы где дырка, отписал бы ikonboard-овцам баглист и запостил бы его в рассылку, .. был бы крутым пацаном и всё было бы супер.
Мою логику тоже можно в принципе понять - У меня не такой крутой сервер, и там бывает очень мало народу(прямо скажем - много меньше чем у тебя) - зачем ему крутая защита? это то о чем говоришь сейчас ты.
Но логика - ошибочна. Зачита нужна в любом случае.

regards, procool@
(задумчиво) а модем мой всё шумит и шумит...

Неони

  • Гость
Re: Ваш пароль - ваша безопасность.
« Ответ #36 : Августа 14, 2005, 12:58 am »
Ой..а у меня пароль Риал...ой..а что говорить не надо было??ой ой ой ой ой

procool

  • Участник
  • **
  • Сообщений: 7
  • Репутация: 2
    • Просмотр профиля
    • http://www.procool.ru
Re: Ваш пароль - ваша безопасность.
« Ответ #37 : Августа 19, 2005, 10:33 am »
пипец сереж.. ну и юзера у тебя..
сочувствую
(задумчиво) а модем мой всё шумит и шумит...

Ташка

  • Авторитет
  • *****
  • Сообщений: 172
  • Репутация: 27
  • Пол: Женский
  • ...и это всё я...
    • Просмотр профиля
Re: Ваш пароль - ваша безопасность.
« Ответ #38 : Августа 29, 2005, 07:20 pm »
to procool:
извините...а зачем на полстраницы рассказывать непонятными словами о защите каких-то сложностей? это понятно немногим.  по-моему, Real просто предложил несколько усложнить пароли для большей безопасности. у нас же тут не Пентагон...вроде... :-\ ))

lord

  • Авторитет
  • *****
  • Сообщений: 119
  • Репутация: -19
  • Пол: Мужской
    • Просмотр профиля
Re: Ваш пароль - ваша безопасность.
« Ответ #39 : Сентября 12, 2005, 03:54 pm »
не у меня пароль  123@webLord@321   ...был... предется сменить...
We are prisoners of our time
But we are still alive
Fight for the freedom, Fight for the right
We are Running Wild...