id: Гость   вход   регистрация
текущее время 23:37 18/04/2024
Владелец: SATtva (создано 03/11/2006 19:50), редакция от 03/11/2006 19:52 (автор: SATtva) Печать
Категории: софт, сайт проекта, ошибки и баги, уязвимости
https://www.pgpru.com/Новости/2006/11-03-ЗащитаУчетныхЗаписейПользователейСайта
создать
просмотр
редакции
ссылки

03.11 // Проект // Защита учетных записей пользователей сайта


Накануне произошел инцидент, связанный с безопасностью сайта. Просматривая сайт ночью, spinore'у по неизвестной причине была присвоена сеансовая идентификация администратора SATtva. Являясь добропорядочным участником проекта, он не нанес страницам каких-либо повреждений, а немедленно уведомил по телефону администратора, подняв его из постели.


К сожалению, недостаток фактических данных не позволяет однозначно установить источник проблемы, но, вероятно, случилось следующее. Завершив работу с сайтом, SATtva просто закрыл браузер, не произведя выход из системы; таким образом, сессия администратора и все сеансовые переменные остались на сервере. Когда spinore спустя некоторое время зашел на сайт, ему (что уникально) был присвоен тот же самый номер сессии, и система расценила его пользователем SATtva. Это лишь версия, не отвечающая на ряд вопросов.


Что бы ни являлось действительной причиной, незамедлительно были приняты меры, дабы не допустить аналогичной ситуации в будущем ни для одного пользователя сайта. Новые механизмы включают:

  • регенерацию сессии как при выходе из системы, так и при входе (при этом, при логине номер сессии задается принудительно как хэш-значение от имени и пароля пользователя, времени завершения сессии и специального секретного показателя системы);
  • возможность привязки сессии к IP-адресу пользователя; соответственно, при намеренном или случайном перехвате сессии с постороннего IP все данные сессии уничтожаются (эта функциональность по умолчанию выключена, чтобы не затруднять работу пользователей через сеть Tor, включить же ее можно в настройках).

Помимо этого, была усилена защита пользовательских cookie, хранящих информацию об авторизации на сайте. Так, пароль теперь размещается в cookie в неявном виде (пароль хэшируется с датой/временем завершения авторизации и секретным показателем системы), при этом обеспечивается его обратное восстановление на стороне системы. Таким образом, содержимое cookie не может применяться дольше, чем решит сам пользователь, авторизуясь на сайте (даже при захвате cookie, его данные не могут быть изменены для продления срока авторизации). Более того, разлогинившись, пользователь блокирует использование даже идентичных копий авторизующего cookie.


Источник: http://www.pgpru.com


 
Несколько комментариев (9) [показать комментарии/форму]
Общая оценка документа [показать форму]
средний балл: +3респондентов: 1