Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Авторизация пользователя [2]
Покинул форум
Сообщений всего: 425
Дата рег-ции: Февр. 2015
Помог: 14 раз(а)
dcc0 а кто виноват, что этот журналист не следит за сохранностью своих логинов и паролей? и раскидуется ими везде, где не лень... В общем спорный вопрос!
И отличное решение предоставить функционал, по изменению политики безопасности, самому пользователю!
Цитата:
Браузеры по-прежнему предлагают сохранять пароли.
В хроме так вообще ужас, там ничего даже взламывать не надо, сел за чей то ком и все пароли, сохраненные в хроме, у тебя на ладони.... Вот к стати яркий пример того, как относятся разработчики гугла к вопросу о безопасности!
dcc0
Отправлено: 10 Мая, 2015 - 11:41:24
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
В FireFox в принципе то же самое, но хранение паролей в браузере все же избавляет от их повторного ввода.
Я не рассматриваю случай "сел за чужой компьютер". Это, правда, не имеет смысла. Это абсолютно то же самое, что ты только что написал про разбрасывание паролей.
----- Март 2021. Бросил программирование
exlant
Отправлено: 10 Мая, 2015 - 11:53:08
Посетитель
Покинул форум
Сообщений всего: 425
Дата рег-ции: Февр. 2015
Помог: 14 раз(а)
На сколько мне известно в FireFox пароли хранятся в зашифрованном виде, и еще есть мастер-пароля, где можно поставить пароль на все хранящиеся пароли. Не знаю на сколько их от туда трудно достать, не разу не страдал этим, но это уже вызывает трудности при взломе...
А вот в хроме просто зашел в настройки, и все пароли в открытом доступе, бери себе на здоровье, что тебе надо!
Цитата:
Я не рассматриваю случай "сел за чужой компьютер". Это, правда, не имеет смысла. Это абсолютно то же самое, что ты только что написал про разбрасывание паролей.
Ну и я об этом же, если юзер лопух, то что тут поделаешь... У меня все важные пароли хранятся в надежном месте!
Покинул форум
Сообщений всего: 384
Дата рег-ции: Дек. 2013 Откуда: Belarus
Помог: 22 раз(а)
Для доски объявлений будет достаточно генерировать рандомный ключ для авторизации со сроком жизни, например, пару суток (чтоб если вдруг когда-нибудь письмо и всплывёт, переход по ссылке ничего не даст).
alnik-75 пишет:
Тогда спрашивается, как "победить" этот робот? Делать отписку, например, с подтверждением?
1. Фильтровать User-Agent, почтовые боты не особо скрываются
2. При переходе по ссылке показывать сначала форму с подтверждением (типа, подтвердите вход под таким-то логином), боты не будут отправлять формы на сервер. (Добавление)
exlant пишет:
Я хочу лишь сказать, что в хроме огромная дыра в безопасности, связанная именно с их запоминанием паролей...
Ничего не огромная, нечего пускать всяких за свой компьютер. В вин8 можно из панели управления просмотреть пароли от всех своих учёток.
А защита у хрома все-таки есть, если какой вирус стащит файл с паролями, на другом пк расшифровать этот файл будет проблематично, ибо шифр к паролям зависит от параметров системы/железа
teddy
Отправлено: 10 Мая, 2015 - 13:50:54
Участник
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
exlant пишет:
Если пользователь лопух и у него стырили логины и пароли, или как то вошли на его мыло, после того как он решил менять пароль за чужим пк, или же не нажал кнопочку выйти, когда находился не дома, то в чем тут, может быть вина разработчика?
Вы серьезно думаете, что все пользователи имеют хотя бы минимальное представление о политике безопасности? Открою страшную тайну, нифига подобного! Понятное дело что человек может отойти/уйти даже с открытым аккаунтом на вашем сайте и его могут грохнуть. Но есть варианты. Сайт может быть закрыт, а почта открыта. Ещё раз, не все имеют хотя бы минимальное представление о безопасности и не всегда и не все пользуются компьютерами в надежной среде. У некоторых может вообще дома не быть компа/интернета/провайдер сломался
И задача разработчика не всегда заканчивается на серверном уровне. Бывает так что нужно думать не скриптами а чисто логически, как сейчас например. Если юзер разбрасывается паролями то да, от небрежных мы не застрахованы. Но нужно ещё учитывать человеческий фактор. Или вы ещё и думаете, что все люди идеальны?
Не нужно все спускать на тупость пользователя там где мы как разработчики можем решить некоторые проблемы. Так почему не сделать это? Для продвинутых пользователей - да, как уже говорил, можно дать выбор в том случае, если выбор между удобством и безопасностью колеблется. Но по дефолту ставить высокий уровень защиты. Неужели сложно сделать вывод, что нельзя отправлять на почту информацию о доступах к другим ресурсам? Даже если доступ временный!(Утверждение касается того случая, когда есть регистрация на сайте). Когда аккаунты незрелых пользователей нагнут, знаете что они будут говорить? "У сайта ввв.сайт.ру хреновая защита! Меня взломали! Не пользуйтесь этим сервисом!".
exlant
Отправлено: 10 Мая, 2015 - 13:56:09
Посетитель
Покинул форум
Сообщений всего: 425
Дата рег-ции: Февр. 2015
Помог: 14 раз(а)
Цитата:
Ничего не огромная, нечего пускать всяких за свой компьютер.
Огромная-огромная зашел сосед, знакомый, друг, подруга, девушка, еще кто то... и все плакали ваши пароли от различных соц. сетей, конечно если это близкие люди, то это будет просто возможность порыться в вашем личном, и обернется скорей всего шуткой!
А что если к вам пришел, какой то посторонний человек, ну бывает такое... Далеко не все в наше время разбираются в ПК, и есть такие, которые ни антивирус не установят, ни от вирусов сами не избавятся, ни почистить ПК не смогут, притер там установить, сеть настроить, и т.д. Отвернулся хозяин где то и все пароли тютю!
Или же комп на работе стоит, где не только у вас доступ есть!
Или же живете не сами, снимаете квартиру с кем то, или же вообще в общаге! Где кто хочет может зайти, когда вас нет!
Понятно, что с таким доступом, не сложно и троян какой то кинуть, или шпиона, но вот для этого нужно хоть какие то познания иметь в этой области! А в случаи с хромом, так любой может пароли посмотреть! Не нужно иметь никаких специальных знаний! Соответственно количество людей могущих вас взломать сильно увеличивается!
А вообще плохо даже не то, что пароли в хроме без защиты в свободном доступе лежат, а то что об этом не сообщают пользователю, когда предлагают сохранить пароль! Например, так и так свой пароль, можете удалить, изменить пройдя вот по этой ссылке! А должны были бы! Средне-статистический пользователь даже не подозревает, что так легко можно получить доступ к его паролям! (Добавление)
Цитата:
Вы серьезно думаете, что все пользователи имеют хотя бы минимальное представление о политике безопасности? Открою страшную тайну, нифига подобного! Понятное дело что человек может отойти/уйти даже с открытым аккаунтом на вашем сайте и его могут грохнуть. Но есть варианты. Сайт может быть закрыт, а почта открыта. Ещё раз, не все имеют хотя бы минимальное представление о безопасности и не всегда и не все пользуются компьютерами в надежной среде. У некоторых может вообще дома не быть компа/интернета/провайдер сломался
Я так не думаю! Я абсолютно с вами согласен по поводу, что подавляющее большинство пользователей, даже базового понятия не имеют о том как там все происходит!
Цитата:
Или вы ещё и думаете, что все люди идеальны?
скорей всего наоборот думаю)
Цитата:
Для продвинутых пользователей - да, как уже говорил, можно дать выбор в том случае, если выбор между удобством и безопасностью колеблется. Но по дефолту ставить высокий уровень защиты.
вот здесь, я придерживаюсь другого мнения, безопасность конечно обязательна, но не в ущерб удобности! Вот даже хром сюда в пример привел, там вроде как профи его разрабатывают, но вот безопасность хранения паролей там очень низкая! Из чего делаем вывод, что они выбрали удобность во вред безопасности... хотя их эта реализация, мне тоже не нравиться!
И еще раз добавлю, вот лично для меня, если на сайте нет доступа к моим сбережениям, то меня не сильно заботит возможность взлома, и я бы отдал предпочтение именно удобству использования! Все-равно в большинстве случаев, я смогу восстановить доступ, ну или же на крайний случай создать новый аккаунт! Конечно не приятно, но не критично!
dcc0
Отправлено: 10 Мая, 2015 - 15:47:01
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Цитата:
А что если к вам пришел, какой то посторонний человек
Можно поставить веб-камеру, которая будет отслеживать и распознавать лицо, если вдруг лицо не ваше, но есть попытка заглянуть куда-нибудь - куда нельзя ... эээ... тут дальше много вариантов... можно включать пожарную сирену, можно сразу сохранять лицо человека и отправлять данные в ФСБ, автоматически, а можно просто блокировать экран и клавиатуру.
----- Март 2021. Бросил программирование
Ts.Saltan
Отправлено: 10 Мая, 2015 - 16:16:50
Посетитель
Покинул форум
Сообщений всего: 384
Дата рег-ции: Дек. 2013 Откуда: Belarus
Помог: 22 раз(а)
exlant пишет:
Огромная-огромная зашел сосед, знакомый, друг, подруга, девушка, еще кто то... и все плакали ваши пароли от различных соц. сетей, конечно если это близкие люди, то это будет просто возможность порыться в вашем личном, и обернется скорей всего шуткой!
При данных обстоятельствах защитит пароль на учетной записи
exlant пишет:
А что если к вам пришел, какой то посторонний человек, ну бывает такое...
exlant пишет:
Или же комп на работе стоит, где не только у вас доступ есть!
Или же живете не сами, снимаете квартиру с кем то, или же вообще в общаге! Где кто хочет может зайти, когда вас нет!
В таком случае "режим параноик ON" - сохранять пароли только у себя в голове, т.к. как бы ни был зашифрован файл - если надо, его в большинстве случаев расшифруют, это только дело времени.
exlant пишет:
А вообще плохо даже не то, что пароли в хроме без защиты в свободном доступе лежат, а то что об этом не сообщают пользователю, когда предлагают сохранить пароль! Например, так и так свой пароль, можете удалить, изменить пройдя вот по этой ссылке! А должны были бы! Средне-статистический пользователь даже не подозревает, что так легко можно получить доступ к его паролям!
Вообще-то спрашивает, по крайней мере "из коробки", если в настройках ничего не менять.
Ну раз уж зашла такая тема о безопасности, не смущает ли вас, exlant, что на многих сайтах без ssl, при авторизации, вы передаёте пароль в открытом виде? Что мешает злоумышленнику (или провайдеру) просмотреть всю вашу сетевую активность (в т.ч. логины/пароли и проч.)?
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Пойдем дальше, каждый человек хотя бы раз игнорировал предупреждение о неправильном сертификате. Например, при заходе в почту... Может, два раза нажал отказаться, а потом все равно нажал принять, так как в почту-то надо...
А тут в пух и прах летит уже все, https, md5 salt 1000 раз и даже RSA уже не помогает.
----- Март 2021. Бросил программирование
Ts.Saltan
Отправлено: 10 Мая, 2015 - 17:25:53
Посетитель
Покинул форум
Сообщений всего: 384
Дата рег-ции: Дек. 2013 Откуда: Belarus
Помог: 22 раз(а)
dcc0 пишет:
неправильном сертификате
Косяк админа - забыл или не захотел платить сертификатору
dcc0
Отправлено: 10 Мая, 2015 - 17:36:24
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Хуже, пример: приехал в какой-нибудь город, в командировку, зашел в кафе, там вай-фай...
Подарил пароль адимну от mail.ru и даже ничего не заметил...
Делается на раз два.
----- Март 2021. Бросил программирование
Ts.Saltan
Отправлено: 10 Мая, 2015 - 19:08:31
Посетитель
Покинул форум
Сообщений всего: 384
Дата рег-ции: Дек. 2013 Откуда: Belarus
Помог: 22 раз(а)
dcc0 пишет:
Хуже, пример: приехал в какой-нибудь город, в командировку, зашел в кафе, там вай-фай...
Подарил пароль адимну от mail.ru и даже ничего не заметил...
Делается на раз два.
Мэйл ру висит на https протоколе, никто никому ничего не подарит , ибо всё, что между браузером и сервером находится в зашифрованном виде. Даже свою рекламу на загружаемые страницы впихнуть не получится.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.