Time-out

Pravidlá, štruktúra, návrhy na zlepšenia, dotazy na admina

Re: FÓRUM CHESS

Odoslaťod Hosť Št Jan 14, 2010 8:16 am

Myslel som to tak, že nejako v tom cookie predsa musí byť uložená informácia o identite toho užívateľa, keď to funguje aj po reštartovaní počítača.
No máš pravdu, že to môže byť aj hodnota z hesla neodvodená, napríklad náhodný reťazec, vygenerovaný pri každom prihlásení, no to na princípe zneužitia nič nemení.
Hosť
 
Príspevky: 198
Založený: Pi Máj 29, 2009 6:32 pm

Re: FÓRUM CHESS

Odoslaťod jogo Št Jan 14, 2010 8:31 am

Ako to moze zneuzit niekto? Tvoje heslo z toho nikdy neziska. A nejak zneuzit to moze maximalne do casu, ked sa prihlasis ty niekde inde (stary session string sa zahadzuje a novy sa vytvara) a to len tak ze sa nejak dostane na ten pocitac z ktoreho si to robil a musi to stihnut najneskor dovtedy pokial sa prihlasis ty znovu na nejakom inom pocitaci alebo pokial nestlacis Odhlasenie. Akonahle pri stlaceni automatickeho prihlasenia na konci to ukoncis stlacenim odhlasenie to nemoze nik nijak zneuzit a presne to je to co tu ludia radili ondrovi. Nech sa prihlasi a da tam automaticke prihlasovanie a na konci prace nech da odhlasit.
jogo [Bury Rastislav]
http://chess-calendar.eu
Obrázok používateľa
jogo
 
Príspevky: 1137
Založený: Po Jan 28, 2008 5:39 pm
Bydlisko: Búry Rastislav, Bratislava

Re: FÓRUM CHESS

Odoslaťod Hosť Št Jan 14, 2010 8:42 am

Nech sa prihlasi a da tam automaticke prihlasovanie a na konci prace nech da odhlasit.
Ale ide práve o to zneužitie, ak sa neodhlási, so zvýšeným rizikom vo verejne prístupnej učebni s PC.
Teda napríklad o tie prípady, čo som vymenoval, že na to zabudne, vypadne prúd a pod.
Pri vlastnom notebooku je to riziko veľmi malé, v tej učebni oveľa väčšie.
No po tvojom vysvetlení asi pochopí, že to riziko je oveľa menšie než si asi myslel.
Naposledy upravil Hosť dňa Št Jan 14, 2010 8:45 am, celkovo upravené 1 krát.
Hosť
 
Príspevky: 198
Založený: Pi Máj 29, 2009 6:32 pm

Re: FÓRUM CHESS

Odoslaťod jogo Št Jan 14, 2010 8:44 am

OK: zneuzitie spociva v com? Napise sem prispevok za teba. Teda katastrofa. Niekto sa bude snazit X hodin ziskat data a zneuzit ich len pre to aby mohol miesto teba sem napisat prispevok, kedze registracia tu trva asi 10 sekund!
jogo [Bury Rastislav]
http://chess-calendar.eu
Obrázok používateľa
jogo
 
Príspevky: 1137
Založený: Po Jan 28, 2008 5:39 pm
Bydlisko: Búry Rastislav, Bratislava

Re: FÓRUM CHESS

Odoslaťod jogo Št Jan 14, 2010 8:46 am

Zabudol som dodat: sa mi zda ze aj pri neautomatickom prihlasovani je session string ulozeny v cooccies. Cize tak isto jemu moze vypadnut elektrika moze aj tebe, popripade ty nestratis odhlasit a moze to tak isto "zneuzit" ten "utocnik" len to musi spravit do X min (timeout)
jogo [Bury Rastislav]
http://chess-calendar.eu
Obrázok používateľa
jogo
 
Príspevky: 1137
Založený: Po Jan 28, 2008 5:39 pm
Bydlisko: Búry Rastislav, Bratislava

Re: FÓRUM CHESS

Odoslaťod Hosť Št Jan 14, 2010 8:50 am

zneuzitie spociva v com? Napise sem prispevok za teba.
Áno, spočíva vlastne len v tom, lebo sa napríklad ani nedá zmeniť heslo bez znalosti toho starého.
Hosť
 
Príspevky: 198
Založený: Pi Máj 29, 2009 6:32 pm

Re: FÓRUM CHESS

Odoslaťod jogo Št Jan 14, 2010 8:53 am

A este jedna posledna myslienka:
- ak by som chcel spravit ondrovi zle, tak ovela lahsie miesto cakania ci stlacil automaticky prihlasit a nestlacil odhlasit a potom sa dostat na ten pocitac a skusit sa dostat na stranku forum.chess.sk aby som napisal prispevok by som postupoval skor inac. Pouzil by som nejaky keylogger a nainstaloval ho na ten pocitac popripade uz sa daju zohnat aj keyloggeri na vzdialene odchytavanie signalov vyzarovanych z klavesnice a tym ziskas priamo jeho hesla. Neviem ako je to teraz na FIIT(ke) no za mojich cias sme to skusili a nebol tam ziadny problem to tam nainstalovat tak aby to pri odhlaseni fungovalo u druheho uzivatela ktory sa po nas prihlasil (nezneuzili sme to, ten druhy o tom vedel ze to tam je a len to s nami testoval). Mozno to uz teraz nejak fixli...
jogo [Bury Rastislav]
http://chess-calendar.eu
Obrázok používateľa
jogo
 
Príspevky: 1137
Založený: Po Jan 28, 2008 5:39 pm
Bydlisko: Búry Rastislav, Bratislava

Re: FÓRUM CHESS

Odoslaťod Ondrej Danada Št Jan 14, 2010 11:06 am

jogo:
Tvoje vysvetlenie, na čo je time-out je samozrejme tiež pravda, nijako však nesúvisí s bezpečnosťou, ja som vysvetľoval bezpečnostý dôvod.

Ako by mi niekto uškodil? Napr. zmení mi heslo a mailovú adresu a ja sa nikdy viac neprihlásim - o.k., s mojim súčasným nickom mi admin asi uverí, že ten nick patrí mne, ale ak by som mal nejaký taký, ktorý nemá až takú výpovednú hodnotu, tak nieviem. Ja som presne toto - zmena hesla a e-mailu urobil v systéme yonban, kde sa registrujú témy Bc. práce, na FIIT(ke) niekoľkým študentom. Tí schopnejší, ktorí to reletívne rýchlo zistili, kontaktovali admina a spôsobilo im to iba vybavovačky, tí, ktorí si nechali registráciu témy na poslednú chvíľu to už nestihli, a teraz rozkladajú štúdium...

Nemyslím si, že pri súčasnom type overenia hesla Ťa to zavretím prehliadača odhlási - možno Ťa to neuvedie v zozname ľudí, ktorí sú on-line, lebo vlastne nemáš otvorenú žiadnu stránku, ale Tvoj session string bude platný až do vypršnia time-outu, za predpokladu, že nemáš automatické prihlásenie.

Ak sa ukladá naozaj session string a nie heslo, tak potom je to slabo zabezpečené proti steal session, pretože automatické prihlásenie sa Ti nezruší pri zmene IP adresy - napr. otvoríš si fórum v inej wi-fi sieti. To potom fakt asi stačí z cookies získať ten string a hotovo, a to dokáže myslím bez problémov ukradnúť aj javascript na hocijakej stránke.
Obrázok používateľa
Ondrej Danada
 
Príspevky: 1486
Založený: Po Nov 17, 2008 7:17 pm
Bydlisko: Bratislava

Re: FÓRUM CHESS

Odoslaťod jogo Št Jan 14, 2010 11:20 am

Ondro: ja viem ze sa opakujem ale spytam sa znovu: ako ti zmeni heslo bez stareho hesla? Alebo ako ti zmeni emailovu adresu bez hesla? Stale nechapem ako. Uz sa to tu riesilo, asi si si neprecital diskusiu.

"Ak sa ukladá naozaj session string a nie heslo, tak potom je to slabo zabezpečené proti steal session, pretože automatické prihlásenie sa Ti nezruší pri zmene IP adresy - napr. otvoríš si fórum v inej wi-fi sieti. To potom fakt asi stačí z cookies získať ten string a hotovo, a to dokáže myslím bez problémov ukradnúť aj javascript na hocijakej stránke."
To si robis srandu ze ty by si radsej ukladal na tvojom pocitaci tvoje heslo? No ja urcite nie. Urcite je lepsie "steal session" ako "steal password", nemyslis? Alebo si taky naivny ze si myslis ze to password by mali ulozene bohvie kde v bezpeci a session string nie?
jogo [Bury Rastislav]
http://chess-calendar.eu
Obrázok používateľa
jogo
 
Príspevky: 1137
Založený: Po Jan 28, 2008 5:39 pm
Bydlisko: Búry Rastislav, Bratislava

Re: FÓRUM CHESS

Odoslaťod Ondrej Danada Št Jan 14, 2010 11:47 am

jogo:
Diskusiu som si čítal, máš pravdu, myslel som si, že na zmenu e-mailu heslo netreba, ale treba.

Ja osobne by som si permanentne nechcel ukladať ani jedno.

Som si istý, že heslo aj session stringy sú uložené v tej istej SQL databáze, ku ktorej sa pristupuje pod tým istým užívateľským účtom. Takže stačí násť dieru pre SQL inject, vraj existuje, ale to už užívateľ (ne)ukladaním session stringu neovplyvní.
Obrázok používateľa
Ondrej Danada
 
Príspevky: 1486
Založený: Po Nov 17, 2008 7:17 pm
Bydlisko: Bratislava

PredchádzajúcaĎalšia

Naspäť na Fórum o fóre SŠZ

Kto je prítomný

Používatelia prezerajúci si toto fórum: Žiadny registrovaný používateľ a 1 hosť.