(no subject)

Jul. 23rd, 2006 08:33 am
[identity profile] katia-jung.livejournal.com posting in [community profile] useful_faq
Мне тут на днях авторитетно заявили, что, дескать, любой компетентый ИТшник да за пять минут получит доступ ко всем записям, которые я веду в ЖЖ под замком...Это правда или слухи? Можно элементарно вскрыть?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Re: Reply to your comment...

Date: 2006-07-23 03:51 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Ну в принципе да. Только перехватывать придётся пакет не логина, а с кукой.

Re: Reply to your comment...

Date: 2006-07-23 03:53 pm (UTC)
From: [identity profile] raventus.livejournal.com
зачем?
хватаем этот зашифрованный пароль, посылаем его от своего имени и, вуаля, мы вошли...

Re: Reply to your comment...

Date: 2006-07-23 04:07 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Там challenge-response схема.

Re: Reply to your comment...

Date: 2006-07-23 04:10 pm (UTC)
From: [identity profile] raventus.livejournal.com
Хм. А не обойдется ли она перехватом большего числа пакетов?

Не слишком компетентен в данном вопросе) Буду благодарен за краткое описание)

Re: Reply to your comment...

Date: 2006-07-23 04:27 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Сервер формирует строку и отдаёт клиенту. Клиент её хеширует вместе с паролем и отдаёт хеш серверу. Тот со своей стороны повторяет процедуру и сравнивает результаты. Так что ни пароль, ни непосредственно его хеш по сети не ходят.

Да и как бы то ни было, в данном случае действительно проще свистнуть куку.

Re: Reply to your comment...

Date: 2006-07-23 04:30 pm (UTC)
From: [identity profile] raventus.livejournal.com
Опять же вопрос количества пакетов... К кукам не всегда есть доступ...

Сидит вот, например, админ на гейте, открыл и забавляется...

Re: Reply to your comment...

Date: 2006-07-23 04:37 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Как это нет доступа? Не телепатически же они на компьютер пользователя попадают.

Re: Reply to your comment...

Date: 2006-07-23 04:42 pm (UTC)
From: [identity profile] raventus.livejournal.com
Ниже ситуцию объяснил же...

Сижу я на гейте, через меня идёт траффик. Сидит за компом пользователь, к которому нет доступа, допустим, путём шпионским программ. Физическое воздействие недопустимо.

Вот пусть будет так. )

Date: 2006-07-23 05:23 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Вы знаете, что такое Cookie?

Date: 2006-07-23 05:31 pm (UTC)
From: [identity profile] raventus.livejournal.com
Знаю, но, видимо, сегодня сильно торможу. Его также никто не мешает вытянуть из пакета..... Вернее выцеляются заголовки, но это детали...

Кстати, не тот ли хэш пишется в куки?

Re: Reply to your comment...

Date: 2006-07-23 05:52 pm (UTC)
From: [identity profile] mivlad.livejournal.com
Нет, скорее всего другой.

Re: Reply to your comment...

Date: 2006-07-23 04:36 pm (UTC)
From: [identity profile] raventus.livejournal.com
ай, не то немного написал...

поправка к предыдущему комменту:
возможно, только если алгоритм обратимый...

надо поковырять на досуге. интересно аж стало.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only