Авторизация пользователя

что прощать? очень интересно даже

Прекрасно. Набрав из Интернет-кафе mail.ru, где гарантия, что не попадешь на точно такой же mail.ru в локальной сети? Там будет https, и даже новости будут свежие.
Только твой пароль не будет введен... Тебе его придется ввести и дальше тебя перебросит на настоящий mail.ru

-----
Март 2021. Бросил программирование

так-так-так, не надо с меня делать параноика, и перебрасывать на другую сторону спора! Я полностью со всем согласен, если вдруг кому то разбирающемуся будет дан доступ к ПК, то взломать что-либо не составит особого труда, троян в исключения антивируса, и немного подождать!
Про хром, я ввел к тому что увести пароли может почти любой, кто знает куда заходить, что бы их посмотреть! Для этого не нужно вообще владеть какими то познаниями в хищении паролей! Пароль учетной записи тоже легко обходиться, я помню еще в школе, умел пользоваться всякими программами типо windows password recovery! Для таких манипуляций не нужно уметь кидать на ПК троянов всяких, которые еще нужно и уметь настраивать, что бы сливать инфу куда надо, не надо познания в перехвате пакетов, умения их расшифровывать, не нужно быть админом в wi-fi кафешке... Просто быть среднестатистическим пользователем ПК....

Вроде не спрашивает... может не помню спорить не буду!

И да есть еще куча разных способов увести пароли! Вот я и говорю стоит ли сильно заморачиваться с защитой, в ущерб юзабилити, в таких проектах, где аккаунт не составляет материальной ценности?

Открою секрет у меня есть ряд сайтов, на вход в которых стоит один и тот же не большой легко запоминающийся логин и пароль! Аккаунты на этих сайтах для меня абсолютно никакого значения не имеют, регистрация только по причине доступа к большим возможностям сайта, к этим сайтам в основном относятся различные торрент трекеры, форумы на которых нужно задать один вопрос, файлообменники, где вдруг понадобилось что то скачать! Что имеем сильное пренебрежение защиты, зато какое юзабилити, я легко получаю доступ к нужным мне ресурсам с любого не своего ПК! Бывает очень удобно! Большинства этих сайтов я даже не помню, но бывает очень приятно, когда заходишь на какой то сайт с поисковика, а тебе там говорят, Здравствуйте уважаемый, последний раз вы у нас были ..... Я даже последнее время прежде чем регистрироваться где то, ввожу этот свой логин и пароль, так как уже стал часто попадать на те сайты, где уже зарегистрирован...
(Добавление)
Мне вот так вот удобно! Между прочим, еще не разу не было, что бы взломали... Да и нафиг оно кому то надо, взламывание аккаунтов форумов или трекеров всяких, что бы отзыв оставить? Или в теме кому то нагадить? Разве что для фана...
Вот у одного знакомого не так давно аккаунт в соц. сети взломали, и что? Восстановил доступ, изменил пароль… Так несколько раз, понравился он кому то… Поставил вход по мобильнику, вот и все….

Вы не разбираетесь в принципах работы HTTPS
Даже если пользователь попадёт на фишинговый сайт мэйла, даже если этот сайт работает на HTTPS. Пусть так. Пользователь подключится, получил публичный ключ SSL, браузер "пошёл" на сервер сертификации проверять его, а тот - хрен вам, чем вы ключ подписывали? а надо подписывать приватным ключом, который есть только у сертификатора и у самого мэйл ру.

Допустим "путь" к центру сертификации закрыт или сервер скомпрометирован. Браузер сразу же закричит, мол, не удаётся проверить подлинность, соединение не безопасно.
Допустим твёрдолобый пользователь нажмёт на кнопку "пофиг, дай мне зайти на сайт".

Сервер отправляет пользователю информацию о себе. Но браузер то помнит, что когда он раньше дома заходил мэйл, он сохранил сертификат. А тут он получает какую-то хрень от сервера. Только вот не знаю, оборвёт ли браузер соединение или нет.
(Добавление)

В том-то и фишка - если файл с паролем скопировать на любой другой ПК, расшифровать уже будет проблематично.


Винда поддерживает шифрование пользовательских данных, только не все этим пользуются. Даже если сбросить пароль - пользовательские файлы окажутся недоступными (в т.ч. вся папка %appdata%, где хром хранит пароли)
(Добавление)

Так у многих, в т.ч. и у меня куча аккаунтах на разных трекерах/форумах, где регистрация нужна была для разового скачивания файла. И пароли там чисто из цифр.
Такие аккаунты есть везде почти независимо от ресурса.

Но не стоит забывать и про обычных пользователей, которые хоть в какой-то мере ценят свои аккаунты.

(Отредактировано автором: 10 Мая, 2015 - 21:00:02)

C какой стати ? Нажал "Все равно продолжить". Оно может вылетать несколько раз, но все равно придется перейти.


Читал я достаточно для того, чтобы понять принцип ssl.
Здесь нету задачи получить или расшифровать сообщения или даже перехватить ключ.



http://habrahabr[dot]ru/post/111714/
См. комментарий.
http://habrahabr.ru/post/111714/#comment_3566369

(Отредактировано автором: 10 Мая, 2015 - 21:04:20)

-----
Март 2021. Бросил программирование

Так да, здесь задача "убедить" клиента, что он подключился к "правильному" мэйлу.
В этом и проблема, особенно если браузер клиента уже когда-то подключался к настоящему мэйл ру. Хотя современные браузеры выпускаются со встроенными корневыми сертификатами.
Чтобы всё-таки заставить браузер считать себя своим, нужно попросить пользователя установить свой сертификат, а т.к. для этого необходимо более одного действия, более менее продвинутый пользователь заметит неладное. А непродвинутый и вовсе не разберётся в этом.

Без всего этого браузер то подключится, но выдаст сотню предупреждений.

(Отредактировано автором: 10 Мая, 2015 - 21:09:12)

А зачем мне файл с паролем? Я уже буду целить сразу на ввод логина и пароля, с помощью кейлогера, ну да вы скажите, что пароли вводятся автоматом, но можно и удалить файлик с паролями, заставив пользователя вводить пароли заново!


Ой ну да, мы говорим про среднестатистического пользователя, там врядли вообще будет стоять пароль на учетную запись в домашнем пк... Я уже молчу про шифрование!


а не кто их и не забывает!
Мы же уже выяснили, что сохранность паролей, в большей степени, зависит от самого пользователя! Так зачем урезать юзабилити одних пользователей, для призрачной защиты других? Первые просто уйдут, вторые даже после маловероятного взлома, скорей всего останутся.

Вряд ли среднестатистический пользователь будет подпускать к своему ПК какого-то левого человека.


Даже без антивируса встроенный защитник windows спалит ваш кейлоггер за милую душу.

Я только не могу понять в чём дискуссия. Началось с хрома. Так вот, разработчики хрома довольно грамотно поступили. Пользователь очень ленив, чтоб лишний раз вводить пароль ради получения доступа к сохранённым паролям. Пароли не лежат в открытом виде, они шифруются настолько, насколько это возможно, без привлечения участия пользователя. Если пользователь захочет - есть готовые решения для шифрования, обычному среднестатистическому пользователю это не нужно. Современные браузеры хоть и не на 100%, но достаточно защищены, чтобы оставить в сохранности данные пользователя. А при наличии физического доступа от кражи паролей на 100% спасёт только их отсутствие на ПК.

Ts.Saltan, свеженькое
http://habrahabr[dot]ru/sandbox/94137/

-----
Март 2021. Бросил программирование

У меня знакомые бывают просят посмотреть их комп, и я имею полный доступ! Да и писал я уже не один раз, что ситуации бывают разные, и по различным причинам левые люди могут получить доступ к вашему пк! И понятно что если сядет за ПК, человек знающий свое дело то все потеряно!
НО
Далеко не у всех в окружении одни хакеры и программисты! Очень часто доступ к ПК могут получить просто знакомые люди: родственники, знакомые, друзья, сотрудники, сожители etc , но очень часто это люди, которые не имеют никакого отношения к IT, и не смогли бы закинуть трояны, украсть куки и т.д. они не хакеры и понятия не имеют как это сделать! Но вот что бы просто зайти в настройки и посмотреть пароли, им ничего не нужно знать! Вот в чем проблема! Я оставил знакомого за ПК(возле ПК), отошел в туалет, и 2-3 мин. ему будет достаточно стырить мои пароли с хрома, или же гости дома, детей за ПК посадили, и вот какой то шибко умный возьмет и стырит ваши пароли от сайта знакомств, или еще от чего то личного, или же компания отдыхает, и ноут ходит по кругу, все хотят там свою музыку поставить, та даже особо прятаться не надо, пару кнопок нажал, и за пол минуты получил заветные пароли, никто даже не заметит! Я ввел именно к таким ситуациям, а их не мало!

Я не вижу грамотности в том, что бы делать такую брешь в защите! В других браузерах можно ставить хотя бы пароли на это дело! Вроде в mac и в linux chrome тоже можно поставить пароль, на андроиде в chrome вообще нет доступа к паролям, их просто не показывают! И обычный пользователь уже не сворует так просто ваш пароль, и даже умеющим людям это усложнит процесс взламывания!

Подвиду итог:
1. даже такие гиганты как гугл, делают акцент именно на удобности, а не на безопасности
2. есть большая разница между просто нажать пару кнопок и получить все пароли, и установкой/настройкой дополнительного ПО, что бы своровать файл с ними, а потом еще и расшифровывать его!
3. имея доступ к ПК, пароли в хроме своровать проще простого! С этим справиться даже ребенок!
4. человек знающий свое дело, и получивший доступ к вашему ПК, в 99% все-таки сможет сделать, то что задумал!
5. мне по большому счету вообще пофиг, на то кто и как хранит свои пароли... Я знаю как я храню, и особых проблем у меня с моим способом не было!

(Отредактировано автором: 11 Мая, 2015 - 02:20:13)

Почитал мнения. Вопрос свелся к соотношению удобства и безопасности.

Из личного опыта. "Сквозная" авторизация само по себе не плохо и удобно. Вопрос в том насколько однозначно определяется пользователь. В предлагаемом варианте идентификация производится по электронному адресу, т.е. подразумевается, что если пользователь получил письмо, то он уже может быть однозначно определен. Т.е. условно доступ открывается "предъявителю сего". Т.е. у кого письмо, тот и получит доступ.
Уже из предыдущих двух фраз становится понятно, что это не самый лучший уровень доверия. Например, корпоративная почта контролируется админом. В моей практике была масса случаев, когда админ лезет в чужую почту по своей инициативе или по заданию руководства. Причем как в момент, когда владелец ящика еще работает, так и через полгода после его увольнения. Соответственно, даже на этом примере видим, что этот метод авторизации череповат боком.
Рассуждаем далее. Но ведь используют! Подтверждение при регистрации, восстановление пароля! Да. Но с определенными ограничениями. Во-первых, жизнь таких ссылок ОБЯЗАТЕЛЬНО должна быть ограничена по времени существования. В случае подтверждения при авторизации от минут 15 до суток, например, но не более. В случае восстановления пароля еще и дополнительно нужно требовать секретное слово типа девичья фамилия матери и т.п. В противном случае такие ссылки станут дырами и рано или поздно кто-нибудь этим воспользуется.
Вообще, если вернуться к соотношению удобства и безопасности, то надо все-таки отдавать себе отчет, что способ определения пользователя по электронному адресу - не надежный, поэтому с его помощью открывать доступ с целью обеспечения удобства можно, но далеко не ко всем разделам сайта. Например, к какой-нибудь голосовалке - пожалуйста, при этом голосование пройдет от имени пользователя, определенного по электронной почте. Но авторизовать пользователя только по одному e-mail - это риск. Авторизовать, т.е. предоставить доступ ко всем разделам, требующим авторизации. Соответственно, доступ к личному кабинету предоставлять таким образом нельзя ни в коем случае, т.к. за этим тянется возможность изменить личную информацию, написать от имени пользователя какую-нибудь фигню и еще бог знает что в зависимости от возможностей системы.
Есть вариант ввести при авторизации чекбокс "запомнить меня" и, если пользователь авторизуется с установленным чекбоксом, то создается хэш, который пишется в базу и соотносится с пользователем, а также пишется ему в кукисы. Также необходимо установить срок жизни такого хэша (как в кукисах, так и в базе). В данном случае, если пользователь авторизован и "запомнен", то перейдя по ссылки из письма, ему просто не потребуется авторизоваться. А если не авторизован, то уж извините, хотя бы один раз в месяц, но это сделать надо