(no subject)

Jul. 23rd, 2006 08:33 am
[identity profile] katia-jung.livejournal.com posting in [community profile] useful_faq
Мне тут на днях авторитетно заявили, что, дескать, любой компетентый ИТшник да за пять минут получит доступ ко всем записям, которые я веду в ЖЖ под замком...Это правда или слухи? Можно элементарно вскрыть?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2006-07-23 07:15 am (UTC)
From: [identity profile] raventus.livejournal.com
Бред.
Только узнав пароль.

Date: 2006-07-23 07:19 am (UTC)
From: [identity profile] dr-von-ozgg.livejournal.com
Ну вот пароль-то как раз можно узнать, хоть и не так просто. Трафик же можно "слушать", а пароль вряд л ишифруется.
Вопрос только в том, какому айтишнику надо знать чужие пароли. Нет, конечно, до моего ЖЖ добрался наш ИТ-отдел, но на работе я из принципа не вхожу под своим аккаунтом, а то мало ли... У меня там есть шокирующие некоторых записи по замком :)

Date: 2006-07-23 07:31 am (UTC)
From: [identity profile] raventus.livejournal.com
Теоретически надо смотреть запросы на предмет адреса страницы логина. Находим такой пакет, откладываем его в сторонку - пароль есть. Но опять же, в жж видел безопасный вход, то есть там, по идее пароль будет защищен.
Остается атака на локальный комп, т.е. куки и снифферы. Тут надо самому следить...
В любом случае количество геморроя огромно...

Date: 2006-07-23 07:42 am (UTC)
From: [identity profile] dr-von-ozgg.livejournal.com
Огромно, но если человеку приспичит, такой вероятности лучше не исключать :)
Я бы сказал так: не каждый айтиншик сможет это сделать. И не каждому придёт такое в голову.

Date: 2006-07-23 08:15 am (UTC)
From: [identity profile] raventus.livejournal.com
Именно. Безопасное соединение + контроль за своим компом, я думаю, решат проблему)

Date: 2006-07-23 09:56 am (UTC)
From: [identity profile] katia-jung.livejournal.com
что значит безопасное соединение? когда оно опасно? просветите темноту, пжлста

Date: 2006-07-23 11:18 am (UTC)
From: [identity profile] raventus.livejournal.com
При использовании безопасного соединения все данные между сервером и клиентом шифруются. В обычном случае данные идут в открытом виде, т.е. перехватив пакет, что не так уж сложно в локальной сети, можно без проблем извлечь из него данные, например, логин или пароль.

Date: 2006-07-23 11:57 am (UTC)
From: [identity profile] mivlad.livejournal.com
При логине в ЖЖ пароль в открытом виде не передаётся, если не отключать javascript.

Date: 2006-07-23 03:21 pm (UTC)
From: [identity profile] raventus.livejournal.com
не принципиально
всё равно, поймав такой пакет можно зайти с другого компьютера... не думаю, что там хитрая шифровка...

?

Re: Reply to your comment...

Date: 2006-07-23 03:51 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Ну в принципе да. Только перехватывать придётся пакет не логина, а с кукой.

Re: Reply to your comment...

Date: 2006-07-23 03:53 pm (UTC)
From: [identity profile] raventus.livejournal.com
зачем?
хватаем этот зашифрованный пароль, посылаем его от своего имени и, вуаля, мы вошли...

Re: Reply to your comment...

Date: 2006-07-23 04:07 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Там challenge-response схема.

Re: Reply to your comment...

Date: 2006-07-23 04:10 pm (UTC)
From: [identity profile] raventus.livejournal.com
Хм. А не обойдется ли она перехватом большего числа пакетов?

Не слишком компетентен в данном вопросе) Буду благодарен за краткое описание)

Re: Reply to your comment...

Date: 2006-07-23 04:27 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Сервер формирует строку и отдаёт клиенту. Клиент её хеширует вместе с паролем и отдаёт хеш серверу. Тот со своей стороны повторяет процедуру и сравнивает результаты. Так что ни пароль, ни непосредственно его хеш по сети не ходят.

Да и как бы то ни было, в данном случае действительно проще свистнуть куку.

Re: Reply to your comment...

Date: 2006-07-23 04:30 pm (UTC)
From: [identity profile] raventus.livejournal.com
Опять же вопрос количества пакетов... К кукам не всегда есть доступ...

Сидит вот, например, админ на гейте, открыл и забавляется...

Re: Reply to your comment...

Date: 2006-07-23 04:37 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Как это нет доступа? Не телепатически же они на компьютер пользователя попадают.

Re: Reply to your comment...

Date: 2006-07-23 04:42 pm (UTC)
From: [identity profile] raventus.livejournal.com
Ниже ситуцию объяснил же...

Сижу я на гейте, через меня идёт траффик. Сидит за компом пользователь, к которому нет доступа, допустим, путём шпионским программ. Физическое воздействие недопустимо.

Вот пусть будет так. )

Date: 2006-07-23 05:23 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Вы знаете, что такое Cookie?

Date: 2006-07-23 05:31 pm (UTC)
From: [identity profile] raventus.livejournal.com
Знаю, но, видимо, сегодня сильно торможу. Его также никто не мешает вытянуть из пакета..... Вернее выцеляются заголовки, но это детали...

Кстати, не тот ли хэш пишется в куки?

Re: Reply to your comment...

Date: 2006-07-23 05:52 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Нет, скорее всего другой.

Re: Reply to your comment...

Date: 2006-07-23 04:36 pm (UTC)
From: [identity profile] raventus.livejournal.com
ай, не то немного написал...

поправка к предыдущему комменту:
возможно, только если алгоритм обратимый...

надо поковырять на досуге. интересно аж стало.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only