こんにちはハブラ
-セキュリティの世界に突入します。
インターネットがトロイの木馬、ウイルスなどでいっぱいであることは秘密ではありません。それぞれが独自の目標を持ち、それぞれ独自のことをしています。 ソーシャルアカウントを盗んでいる人もいます。 ネットワーク、2番目はICQアカウントを収集し、3番目はサーバーからのコマンドを待機するだけ、4番目は銀行データを収集する、5番目は何か他のことを行う...リストは延々と続きます。
パスワードをクライアントからサーバーに送信するセキュリティに、サイトの作成者の注意を引きたいと思います。
これまで、ネットワークはGETメソッドを使用してパスワードを送信するサイトでつまずくことがありました。
しかし、これはそれほど悪くはありません。最も興味深いのは、パブリックアクセスのあるカウンターがそのようなサイトにあるときです...
冗談が何であるか理解していますか?
カウンター統計ページにアクセスして、サイトのリクエストを確認できます...
GETで送信すると、手のひらにすべてが表示されます。
このバグはまだ複数の都市のチャットといくつかのゲストに苦しんでいます...
しかし、これらは彼らの問題です。
開発者が第三者へのデータの傍受からあらゆる努力をしたとしましょう。
それらはPOST、SSLを使用しますが、ここでも脆弱性があります。
私は故意にウイルスについて最初に書いた。
実際、既存のトロイの木馬は送信されたフォームを傍受し、ファイルに保存することができます...
次に、フォームの内容を読みます。いくつかの些細なことですが、通常は次のようになります。
[IP]
[日付]
[URL]
ユーザー名=ルート
パスワード= ri2i098vnd
-SSLでも役に立たない...すべてがクライアント側で問題なくインターセプトされます。
あなたはスニファーを入れて、物事が実際にどのように見えるかを見ることができます:-)
攻撃者の気分を著しく損なうソリューションが1つありますが、ソリューション自体は非常に単純です- クライアント側でパスワードをハッシュします 。 その後、サーバーに転送するだけです。
つまり、操作アルゴリズムは次のとおりです。
0.ユーザーがサイトにアクセスすると、そのサイトは、たとえば50文字のクッキーを提供します。
1.ユーザーがパスワードを入力します(キーストロークが点灯しないように仮想キーボードを使用するのが最善です)
2.入力された文字は、Cookieを使用してハッシュされます。
3.これはすべてサーバーに送信されます。
この場合、ログインとハッシュはクライアントを離れます!
-あなたはこれが攻撃者によって送信される可能性があると言います...疑いなく、しかし1つがあります! 要求がユーザーを離れると、割り当てられたKUKIも離れます。 そして、KUKIトロイの木馬は傍受しません!
つまり、結果として同じパスワードは異なるHESESを持ち、受信したHASHを知っていると、攻撃者はKUKIトロイの木馬がインターセプトしないためログインできず、したがって入力できません。 サーバー側では、KUKIとHASHが読み取られ、これらのデータに基づいて決定が行われます。
これが何であるか理解していますか?
今、攻撃者はさらにhemoの束を取得します。
彼は「現状のまま」のパスワードと、ここにあるハッシュ、さらには異なるパスワードを見ることを望みました...そして、これらが異なるパスワードまたは1つであることを理解しました...
攻撃者はパスワードを取得するための新しい方法を考え出す必要がありますが、経験の浅いハッカーを怖がらせるでしょう。
これは万能薬ではありませんが、しばらくの間ではありますが、トロイの木馬とその所有者からパスワードを隠すためのかなり効果的な方法です。 お金、データ、いくつかの重要な情報を実行するサービスを作成する場合、開発者の皆さん、保護の追加の方法が損なわれることはありません。さらに、実装が非常に簡単ですが、JS && Cookieが無効なクライアントの場合十分ではありません...
みんなありがとう
UPD:ナンセンスとSSLのトピックが世界を救うと信じている人のために-ここにローカルスニファーからのデータがあります-を参照してください
したがって、結論:SSLは、クライアントとサーバーの間でパスワードがインターセプトされないという点で優れていますが、クライアント上で簡単に削除でき、httpまたはhttpsに行く場所は関係ありません
UPD2 :みんな、これは万能薬ではありません。 ベールする必要はありません。 ITは他のサイトで動作し、正常に動作します。 証明書に切り替える前に同じOSMP.ru SO WORK。
これがミスターだと書く必要はありません
欲求があります-機会があります
欲求なし-多くの理由があります。