информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRыАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Перевод Firefox на DNS over HTTPS 
 Microsoft закрыла серьёзную уязвимость,... 
 Прощаемся с Windows 7 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Нет, ты не понял :) 11.12.01 17:08  Число просмотров: 1570
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
На сервере ничего не выйдет проверить. Подбор будет происходить между клиентом и сервером. И подыскиватся правильный (совпадающий) хеш. Но это все относится к коротким паролям (как уже было сказано).


> забыл добавить:
> по моему мнению, 8-7ми символов вполне достаточно, т.к.
> даже при полном переборе пароля,
> будет очень много совпадений, а все их нужно проверять,
> что, в свою очередь, хорошо заметно на сервере (лоджин один
> и тот же, но пароли совершенно разные)
<theory>
Удаленная авторизация 08.12.01 15:08  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
как замутить авторизацию на сервер, без ssl, так чтоб если пароль кто-то перехватил, то не смог бы им воспользоватся???
Удаленная авторизация 11.12.01 09:56  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
А сделай по принципу CHAP: сервер посылает клиенту большое случайное число, клиент его шифрует своим паролем, и отдает серверу, тот тоже шифрует и сравнивает. Для шифрования можно использовать тот же crypt или md5, ну, или сам какой-нибудь простой алгоритм напиши, тока не используй только перестановку, только xor или только сложение, они очень легко ломаются статистически. А вообще, про это дело очень много написано, на том же opennet.ru.

Всего доброго.
Эт надо для веб сервиса. 11.12.01 14:10  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
> А сделай по принципу CHAP: сервер посылает клиенту большое
> случайное число, клиент его шифрует своим паролем, и отдает
> серверу, тот тоже шифрует и сравнивает. Для шифрования
> можно использовать тот же crypt или md5, ну, или сам
> какой-нибудь простой алгоритм напиши, тока не используй
> только перестановку, только xor или только сложение, они
> очень легко ломаются статистически. А вообще, про это дело
> очень много написано, на том же opennet.ru.
>
> Всего доброго.
Привет!
Помоему это нельзя(оч сложно) реализовать для веб сервиса...
Были мысли как нить зашифровать пароль и логин юзера JavaScript'ом.
Эт надо для веб сервиса. 11.12.01 14:29  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
Ну да, я понял, что это для веба. У меня была такая же идея сделать авторизацию (правда, руки не дошли), так чтоб пароль не гонять по сети. Кроме Java и JavaScript ничего толкового не придумал. На самом деле, не понимаю, чем тебе не нравится этот способ. Написал на Javascript'е простенькую хэш-функцию, и всего делов-то, IMHO. Главное, чтоб перемешивала как положено.
Эт надо для веб сервиса. 11.12.01 15:07  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Ну да, я понял, что это для веба. У меня была такая же идея
> сделать авторизацию (правда, руки не дошли), так чтоб
> пароль не гонять по сети. Кроме Java и JavaScript ничего
> толкового не придумал. На самом деле, не понимаю, чем тебе
> не нравится этот способ. Написал на Javascript'е
> простенькую хэш-функцию, и всего делов-то, IMHO. Главное,
> чтоб перемешивала как положено.

ничего сложного и правда нет. разжевать если только...
Такая авторизация, к примеру, на dostavka.ru . Вставляется жабаскрипт md5.js ,
вставляется hidden поле challenge в форму логина, в которую сервер пишет случайное число и запоминает его в таблице . Когда идет отсылка формы, ловишь onSubmit , в другое скрытое поле формы responce пишешь (жабаскриптом ессна) responce.value = md5(challenge + md5(password.value)) . Password стираешь. Форма отправляется. Когда приходит ответ серверу, он ищет challenge в табличке выданных challenge'й , получаешь пароль в базе, выполняешь те же преобразования, сравниваешь, что получилось в рез-те вычислений, с тем, что послала форма.

простенькую хеш ф-ю советую не использовать, этот md5.js везде валяется..
Другими словами 11.12.01 15:45  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
спокойно вклиниваешся между ними и посылаешь запросы от имени клиента.
ИМХО, делать какую либо защиту на вебе - пустая трата времени. Только если начальству отрапортовать надо.

> ничего сложного и правда нет. разжевать если только...
> Такая авторизация, к примеру, на dostavka.ru . Вставляется
> жабаскрипт md5.js ,
> вставляется hidden поле challenge в форму логина, в
> которую сервер пишет случайное число и запоминает его в
> таблице . Когда идет отсылка формы, ловишь onSubmit , в
> другое скрытое поле формы responce пишешь (жабаскриптом
> ессна) responce.value = md5(challenge +
> md5(password.value)) . Password стираешь. Форма
> отправляется. Когда приходит ответ серверу, он ищет
> challenge в табличке выданных challenge'й , получаешь
> пароль в базе, выполняешь те же преобразования,
> сравниваешь, что получилось в рез-те вычислений, с тем, что
> послала форма.
>
> простенькую хеш ф-ю советую не использовать, этот md5.js
> везде валяется..
>
Другими словами 11.12.01 15:59  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
> спокойно вклиниваешся между ними и посылаешь запросы от
> имени клиента.
> ИМХО, делать какую либо защиту на вебе - пустая трата
> времени. Только если начальству отрапортовать надо.

таким макаром можно и в SSL вклиниться ;) и никто не заметит, там же временный пароль открытым ключем шифруется, если я не ошибаюсь.
а тут речь идет о защите от снифера, наскока я понял.
Ну что ? пофлеймим ? :) 11.12.01 16:25  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
> а тут речь идет о защите от снифера, наскока я понял.

У тебя обычно пароль сколько символов ?
md5(challenge + md5(password.value))
challenge - голое гуляет по сети, осталось только подобрать от 3х до 7и символов, причем это символы a-z, A-Z, 0-9, [пробел].
ИМХО, веб защита - это защита от ленивых.
Ну что ? пофлеймим ? :) 11.12.01 16:44  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
> Ну что ? пофлеймим ? :)
ну давай, пока рабочий день не закончился ;))))

> > а тут речь идет о защите от снифера, наскока я понял.
>
> У тебя обычно пароль сколько символов ?
у меня обычно 8-10, беру из отрывка "head -n44 < /dev/urandom | uuencode -m x", потом запоминаю ;)
думаю, этого достаточно, чтоб отбить желание подбирать пароль с мд5
> md5(challenge + md5(password.value))
> challenge - голое гуляет по сети, осталось только подобрать
тут согласен, на том же перле будет генериться гораздо быстрее при простом переборе
> от 3х до 7и символов, причем это символы a-z, A-Z, 0-9,
> [пробел].
за то их много ;)
> ИМХО, веб защита - это защита от ленивых.
не согласен, смотря как сделать
я бы сказал, это бесполезно для короткого пароля
Ну что ? пофлеймим ? :) 11.12.01 16:51  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
забыл добавить:
по моему мнению, 8-7ми символов вполне достаточно, т.к. даже при полном переборе пароля,
будет очень много совпадений, а все их нужно проверять, что, в свою очередь, хорошо заметно на сервере (лоджин один и тот же, но пароли совершенно разные)
Нет, ты не понял :) 11.12.01 17:08  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
На сервере ничего не выйдет проверить. Подбор будет происходить между клиентом и сервером. И подыскиватся правильный (совпадающий) хеш. Но это все относится к коротким паролям (как уже было сказано).


> забыл добавить:
> по моему мнению, 8-7ми символов вполне достаточно, т.к.
> даже при полном переборе пароля,
> будет очень много совпадений, а все их нужно проверять,
> что, в свою очередь, хорошо заметно на сервере (лоджин один
> и тот же, но пароли совершенно разные)
Нет, ты не понял :) 11.12.01 17:22  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
> На сервере ничего не выйдет проверить. Подбор будет
> происходить между клиентом и сервером. И подыскиватся
> правильный (совпадающий) хеш. Но это все относится к
ну да, тут полностью согласен, если вклиниться между клиентом и сервером, то тут уже ничего не поможет, даже SSL (тоже было сказано выше) ;)
> коротким паролям (как уже было сказано).

походу, тема исчерпана, не получилось пофлеймить :((
Эт надо для веб сервиса. 11.12.01 15:16  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
гы, точно ;)
классная штука, тока тяжелая (9.5k) ;)
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach