Авторизация пользователя

dcc0 а кто виноват, что этот журналист не следит за сохранностью своих логинов и паролей? и раскидуется ими везде, где не лень... В общем спорный вопрос!
И отличное решение предоставить функционал, по изменению политики безопасности, самому пользователю!


В хроме так вообще ужас, там ничего даже взламывать не надо, сел за чей то ком и все пароли, сохраненные в хроме, у тебя на ладони.... Вот к стати яркий пример того, как относятся разработчики гугла к вопросу о безопасности!

В FireFox в принципе то же самое, но хранение паролей в браузере все же избавляет от их повторного ввода.

Я не рассматриваю случай "сел за чужой компьютер". Это, правда, не имеет смысла. Это абсолютно то же самое, что ты только что написал про разбрасывание паролей.

-----
Март 2021. Бросил программирование

На сколько мне известно в FireFox пароли хранятся в зашифрованном виде, и еще есть мастер-пароля, где можно поставить пароль на все хранящиеся пароли. Не знаю на сколько их от туда трудно достать, не разу не страдал этим, но это уже вызывает трудности при взломе...
А вот в хроме просто зашел в настройки, и все пароли в открытом доступе, бери себе на здоровье, что тебе надо!


Ну и я об этом же, если юзер лопух, то что тут поделаешь... У меня все важные пароли хранятся в надежном месте!

(Отредактировано автором: 10 Мая, 2015 - 12:01:47)

Сейчас гляну...
Вот FireFox 31.2.0
Preferences/Security/Saved Passwords
Show Passwords

-----
Март 2021. Бросил программирование

dcc0, если усть пароль к учетке на компе - пароли сохраненные в браузере покажут только после того как его введешь. Как минимум так в Opera/Chrome.

В FF похоже нужно ставить master password

(Отредактировано автором: 10 Мая, 2015 - 13:03:27)

я про этот мастер пароля https://support[dot]mozilla[dot]org/ru/k[dot][dot][dot]ashity-sohranyon


да, но его не сложно взломать, есть куча софта показывающего пароль к учетке...
да и не у всех он стоит!

Я хочу лишь сказать, что в хроме огромная дыра в безопасности, связанная именно с их запоминанием паролей...

(Отредактировано автором: 10 Мая, 2015 - 13:08:59)

Для доски объявлений будет достаточно генерировать рандомный ключ для авторизации со сроком жизни, например, пару суток (чтоб если вдруг когда-нибудь письмо и всплывёт, переход по ссылке ничего не даст).


1. Фильтровать User-Agent, почтовые боты не особо скрываются
2. При переходе по ссылке показывать сначала форму с подтверждением (типа, подтвердите вход под таким-то логином), боты не будут отправлять формы на сервер.
(Добавление)

Ничего не огромная, нечего пускать всяких за свой компьютер. В вин8 можно из панели управления просмотреть пароли от всех своих учёток.

А защита у хрома все-таки есть, если какой вирус стащит файл с паролями, на другом пк расшифровать этот файл будет проблематично, ибо шифр к паролям зависит от параметров системы/железа

Вы серьезно думаете, что все пользователи имеют хотя бы минимальное представление о политике безопасности? Открою страшную тайну, нифига подобного! Понятное дело что человек может отойти/уйти даже с открытым аккаунтом на вашем сайте и его могут грохнуть. Но есть варианты. Сайт может быть закрыт, а почта открыта. Ещё раз, не все имеют хотя бы минимальное представление о безопасности и не всегда и не все пользуются компьютерами в надежной среде. У некоторых может вообще дома не быть компа/интернета/провайдер сломался

И задача разработчика не всегда заканчивается на серверном уровне. Бывает так что нужно думать не скриптами а чисто логически, как сейчас например. Если юзер разбрасывается паролями то да, от небрежных мы не застрахованы. Но нужно ещё учитывать человеческий фактор. Или вы ещё и думаете, что все люди идеальны?
Не нужно все спускать на тупость пользователя там где мы как разработчики можем решить некоторые проблемы. Так почему не сделать это? Для продвинутых пользователей - да, как уже говорил, можно дать выбор в том случае, если выбор между удобством и безопасностью колеблется. Но по дефолту ставить высокий уровень защиты. Неужели сложно сделать вывод, что нельзя отправлять на почту информацию о доступах к другим ресурсам? Даже если доступ временный!(Утверждение касается того случая, когда есть регистрация на сайте). Когда аккаунты незрелых пользователей нагнут, знаете что они будут говорить? "У сайта ввв.сайт.ру хреновая защита! Меня взломали! Не пользуйтесь этим сервисом!".

Огромная-огромная зашел сосед, знакомый, друг, подруга, девушка, еще кто то... и все плакали ваши пароли от различных соц. сетей, конечно если это близкие люди, то это будет просто возможность порыться в вашем личном, и обернется скорей всего шуткой!
А что если к вам пришел, какой то посторонний человек, ну бывает такое... Далеко не все в наше время разбираются в ПК, и есть такие, которые ни антивирус не установят, ни от вирусов сами не избавятся, ни почистить ПК не смогут, притер там установить, сеть настроить, и т.д. Отвернулся хозяин где то и все пароли тютю!

Или же комп на работе стоит, где не только у вас доступ есть!
Или же живете не сами, снимаете квартиру с кем то, или же вообще в общаге! Где кто хочет может зайти, когда вас нет!

Понятно, что с таким доступом, не сложно и троян какой то кинуть, или шпиона, но вот для этого нужно хоть какие то познания иметь в этой области! А в случаи с хромом, так любой может пароли посмотреть! Не нужно иметь никаких специальных знаний! Соответственно количество людей могущих вас взломать сильно увеличивается!

А вообще плохо даже не то, что пароли в хроме без защиты в свободном доступе лежат, а то что об этом не сообщают пользователю, когда предлагают сохранить пароль! Например, так и так свой пароль, можете удалить, изменить пройдя вот по этой ссылке! А должны были бы! Средне-статистический пользователь даже не подозревает, что так легко можно получить доступ к его паролям!
(Добавление)

Я так не думаю! Я абсолютно с вами согласен по поводу, что подавляющее большинство пользователей, даже базового понятия не имеют о том как там все происходит!

скорей всего наоборот думаю)

вот здесь, я придерживаюсь другого мнения, безопасность конечно обязательна, но не в ущерб удобности! Вот даже хром сюда в пример привел, там вроде как профи его разрабатывают, но вот безопасность хранения паролей там очень низкая! Из чего делаем вывод, что они выбрали удобность во вред безопасности... хотя их эта реализация, мне тоже не нравиться!
И еще раз добавлю, вот лично для меня, если на сайте нет доступа к моим сбережениям, то меня не сильно заботит возможность взлома, и я бы отдал предпочтение именно удобству использования! Все-равно в большинстве случаев, я смогу восстановить доступ, ну или же на крайний случай создать новый аккаунт! Конечно не приятно, но не критично!

Можно поставить веб-камеру, которая будет отслеживать и распознавать лицо, если вдруг лицо не ваше, но есть попытка заглянуть куда-нибудь - куда нельзя ... эээ... тут дальше много вариантов... можно включать пожарную сирену, можно сразу сохранять лицо человека и отправлять данные в ФСБ, автоматически, а можно просто блокировать экран и клавиатуру.

-----
Март 2021. Бросил программирование

При данных обстоятельствах защитит пароль на учетной записи


В таком случае "режим параноик ON" - сохранять пароли только у себя в голове, т.к. как бы ни был зашифрован файл - если надо, его в большинстве случаев расшифруют, это только дело времени.




Вообще-то спрашивает, по крайней мере "из коробки", если в настройках ничего не менять.

(Отредактировано автором: 10 Мая, 2015 - 16:18:06)

Пойдем дальше, каждый человек хотя бы раз игнорировал предупреждение о неправильном сертификате. Например, при заходе в почту... Может, два раза нажал отказаться, а потом все равно нажал принять, так как в почту-то надо...

А тут в пух и прах летит уже все, https, md5 salt 1000 раз и даже RSA уже не помогает.

-----
Март 2021. Бросил программирование

Косяк админа - забыл или не захотел платить сертификатору

Хуже, пример: приехал в какой-нибудь город, в командировку, зашел в кафе, там вай-фай...
Подарил пароль адимну от mail.ru и даже ничего не заметил...
Делается на раз два.

-----
Март 2021. Бросил программирование

Мэйл ру висит на https протоколе, никто никому ничего не подарит , ибо всё, что между браузером и сервером находится в зашифрованном виде. Даже свою рекламу на загружаемые страницы впихнуть не получится.

Да простит нас alnik-75 за оффтоп