id: Гость   вход   регистрация
текущее время 21:57 28/03/2024
Владелец: SATtva (создано 03/11/2006 19:50), редакция от 03/11/2006 19:52 (автор: SATtva) Печать
Категории: софт, сайт проекта, ошибки и баги, уязвимости
https://www.pgpru.com/Новости/2006/11-03-ЗащитаУчетныхЗаписейПользователейСайта
создать
просмотр
редакции
ссылки

03.11 // Проект // Защита учетных записей пользователей сайта


Накануне произошел инцидент, связанный с безопасностью сайта. Просматривая сайт ночью, spinore'у по неизвестной причине была присвоена сеансовая идентификация администратора SATtva. Являясь добропорядочным участником проекта, он не нанес страницам каких-либо повреждений, а немедленно уведомил по телефону администратора, подняв его из постели.


К сожалению, недостаток фактических данных не позволяет однозначно установить источник проблемы, но, вероятно, случилось следующее. Завершив работу с сайтом, SATtva просто закрыл браузер, не произведя выход из системы; таким образом, сессия администратора и все сеансовые переменные остались на сервере. Когда spinore спустя некоторое время зашел на сайт, ему (что уникально) был присвоен тот же самый номер сессии, и система расценила его пользователем SATtva. Это лишь версия, не отвечающая на ряд вопросов.


Что бы ни являлось действительной причиной, незамедлительно были приняты меры, дабы не допустить аналогичной ситуации в будущем ни для одного пользователя сайта. Новые механизмы включают:

  • регенерацию сессии как при выходе из системы, так и при входе (при этом, при логине номер сессии задается принудительно как хэш-значение от имени и пароля пользователя, времени завершения сессии и специального секретного показателя системы);
  • возможность привязки сессии к IP-адресу пользователя; соответственно, при намеренном или случайном перехвате сессии с постороннего IP все данные сессии уничтожаются (эта функциональность по умолчанию выключена, чтобы не затруднять работу пользователей через сеть Tor, включить же ее можно в настройках).

Помимо этого, была усилена защита пользовательских cookie, хранящих информацию об авторизации на сайте. Так, пароль теперь размещается в cookie в неявном виде (пароль хэшируется с датой/временем завершения авторизации и секретным показателем системы), при этом обеспечивается его обратное восстановление на стороне системы. Таким образом, содержимое cookie не может применяться дольше, чем решит сам пользователь, авторизуясь на сайте (даже при захвате cookie, его данные не могут быть изменены для продления срока авторизации). Более того, разлогинившись, пользователь блокирует использование даже идентичных копий авторизующего cookie.


Источник: http://www.pgpru.com


 
— Lemtoks (04/11/2006 01:18)   профиль/связь   <#>
комментариев: 53   документов: 3   редакций: 1
Сколько умных букафф... А если при входе стоит галочка "сохранить в постоянном cookie", то он разве должен удалять cookie при закрытии броузера? У меня удаляет.

И ещё идея: можно при входе не просить пароль, а предлагать расшифровать строку, зашифрованную публичным ключом человека. Плюсы:
1) Нужно украсть не пароль к форуму, а закрытый ключ и пассфразу к нему, что сложнее. Да и пытаться защитить их пользователь будет сильнее, чем пароль к форуму.
2) При перехвате вопроса-ответа противник не сможет воспользоваться этими данными в следующий раз – каждый раз вопрос будет разным.
3) Можно установить задержку на смену ключа например 3 дня и возможность в любой момент отменить смену. Тогда злоумышленник, похитивший cookie не сможет лишить законного владельца доступа к ящику.
4) Возможность использовать один ключ для многих ресурсов, без понижения степени безопасности.
— SATtva (04/11/2006 11:43)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А если при входе стоит галочка «сохранить в постоянном cookie», то он разве должен удалять cookie при закрытии броузера? У меня удаляет.

Проверьте настройки своего браузера, принимает ли он постоянные (а не только сеансовые, которые удаляются при закрытии) cookie от нашего сайта. Если стоит запрет на постоянные, сайт старается разместить нужные данные хотя бы в сеансовом, прежде чем сдаться.
— Lemtoks (04/11/2006 12:19)   профиль/связь   <#>
комментариев: 53   документов: 3   редакций: 1
У меня FireFox
Сохранять cookies: до истечения срока их действия
Вроде бы не должен удалять.
— SATtva (04/11/2006 13:13)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Скорее всего, это было связано с изменениями в механизме авторизации на сайте. Можете открыть настройки браузера, там нажать кнопку просмотра cookies, в домене pgpru.com найти cookie с именем project_auth и посмотреть на дату окончания его действия.
— Lemtoks (04/11/2006 17:17)   профиль/связь   <#>
комментариев: 53   документов: 3   редакций: 1
SATtva
Можете открыть настройки браузера, там нажать кнопку просмотра cookies, в домене pgpru.com найти cookie с именем project_auth и посмотреть на дату окончания его действия.
Дата – 4 декабря. Но всё равно удаляется после закрытия вкладок со страницами сайта.
— SATtva (04/11/2006 17:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вкладки тут вообще не при чём. Даже сеансовые куки удаляются только при закрытии браузера. Вот ещё что: Вы включали в своих настройках на сайте привязку сессии к IP? Если да, то при переподключении с другого IP до истечения текущей сессии кука и сведения сессии удаляются. Ещё можете проверить настройки функции удаления приватных данных в Firefox. В остальном ищите проблему на своей стороне.
— Lemtoks (04/11/2006 17:53)   профиль/связь   <#>
комментариев: 53   документов: 3   редакций: 1
Привязка к IP выключена.

SATtva:
Вкладки тут вообще не при чём. Даже сеансовые куки удаляются только при закрытии браузера.
Сайт перестает узнавать меня когда я закрываю последнюю вкладку, где открыт сайт. Самое интересное, что cookie и не удаляется, но сайт всё равно требует войти.
— SATtva (04/11/2006 19:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если кто-нибудь ещё наблюдает сходное поведение, буду искать причины. Пока интенсивное тестирование никаких подобных странностей не выявляло.

Проверяйте настройки браузера, переустановите его, ничего другого не предложу. Надеюсь, кстати, что Вы пользуетесь стабильной, а не бета- или альфа-версией.
— SATtva (06/11/2006 22:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В развитие темы:
http://www.vladmiller.info/blog/index.php?comment=61
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3