Перейти к содержимому


Фото
- - - - -

Нужен ли рядовым клиентам доступ к Webmin на порту 9080?


  • Please log in to reply
16 ответов в этой теме

#1 Ilya Evseev

Ilya Evseev

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 06 Май 2009 - 18:55

Вопрос №1: нужен ли клиентам доступ к порту 9080, на котором работает WebMin?
Или его можно оставить открытым только для тех IP, с которых заходят администраторы?

Вопрос №2: почему ссылка /avdesk/download.ds не защищается паролем?
Где гарантия, что пользователь не подберёт чей-то ID и не скачает себе чужой комплект ПО?

#2 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 234 Сообщений:

Отправлено 06 Май 2009 - 19:14

Вопрос №1: нужен ли клиентам доступ к порту 9080, на котором работает WebMin?
Или его можно оставить открытым только для тех IP, с которых заходят администраторы?


нужна. оттуда же берется инсталлер

Вопрос №2: почему ссылка /avdesk/download.ds не защищается паролем?


потому, что 99% не в состоянии будут скачать свой файлик

#3 Ilya Evseev

Ilya Evseev

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 06 Май 2009 - 20:13

Вопрос №2: почему ссылка /avdesk/download.ds не защищается паролем?

потому, что 99% не в состоянии будут скачать свой файлик

А где гарантия, что оставшийся 1% не начнёт воровать чужие инсталляции?

Кстати, как предлагается защищаться от похожего варианта:
один пользователь дарит другому свой avdinst.exe
и они оба пользуются антивирусом под одной учётной записью?

#4 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 234 Сообщений:

Отправлено 06 Май 2009 - 20:45

Вопрос №2: почему ссылка /avdesk/download.ds не защищается паролем?

потому, что 99% не в состоянии будут скачать свой файлик

А где гарантия, что оставшийся 1% не начнёт воровать чужие инсталляции?

Кстати, как предлагается защищаться от похожего варианта:
один пользователь дарит другому свой avdinst.exe
и они оба пользуются антивирусом под одной учётной записью?


работать будет только один. второй будет получать какое-то сообщение об незаконном использовании ПО.

#5 Anton Dobkin

Anton Dobkin

    Newbie

  • Dr.Web Staff
  • 82 Сообщений:

Отправлено 06 Май 2009 - 20:49

Вопрос №2: почему ссылка /avdesk/download.ds не защищается паролем?

потому, что 99% не в состоянии будут скачать свой файлик

А где гарантия, что оставшийся 1% не начнёт воровать чужие инсталляции?


сможет пользователь подобрать что-то подобное 208ff59cc-8439f-de11-e93c3-ff2dd380aa16? 128-битный идентификатор в шестнадцатеричной системе исчисления. Уникальность составляет 2128(3.4 × 1038). Чтобы перебрать все возможные значения пользователю понадобится примерно 10 миллиардов лет.

Кстати, как предлагается защищаться от похожего варианта:
один пользователь дарит другому свой avdinst.exe
и они оба пользуются антивирусом под одной учётной записью?


Оба они не смогут пользоваться агентом с одним и тем же идентификатором.

#6 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 06 Май 2009 - 21:08

работать будет только один. второй будет получать какое-то сообщение об незаконном использовании ПО.

Оно:
"Внимание! Обнаружено совпадение имен. Это означает, что антивирус используется незаконно."
?
С уважением,
Борис А. Чертенко aka Borka.

#7 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 234 Сообщений:

Отправлено 06 Май 2009 - 21:25

работать будет только один. второй будет получать какое-то сообщение об незаконном использовании ПО.

Оно:
"Внимание! Обнаружено совпадение имен. Это означает, что антивирус используется незаконно."
?


похоже, возможно в AV-Desk есть еще что-то или формулировка иная.

#8 Ilya Evseev

Ilya Evseev

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 07 Май 2009 - 15:23

сможет пользователь подобрать что-то подобное 208ff59cc-8439f-de11-e93c3-ff2dd380aa16?

Зачем? Ссылки на скачивание имеют вид .../download.ds?id=ivanov
Подобрать логин соседа не составит никакого труда.

#9 Anton Dobkin

Anton Dobkin

    Newbie

  • Dr.Web Staff
  • 82 Сообщений:

Отправлено 07 Май 2009 - 17:39

сможет пользователь подобрать что-то подобное 208ff59cc-8439f-de11-e93c3-ff2dd380aa16?

Зачем? Ссылки на скачивание имеют вид .../download.ds?id=ivanov
Подобрать логин соседа не составит никакого труда.


Не стоит назначать ID вручную. пускай сервер их сам генерирует.

#10 Ilya Evseev

Ilya Evseev

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 07 Май 2009 - 20:54

Собственно, этот вопрос ещё в силе http://forum.drweb.com/public/style_emoticons/default/smile.png

работать будет только один. второй будет получать какое-то сообщение об незаконном использовании ПО.

Оно:
"Внимание! Обнаружено совпадение имен. Это означает, что антивирус используется незаконно."
?

Это обнаруживается, только если они оба работают одновременно?
Или даже тогда, когда они выходят в сеть попеременно?

#11 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 234 Сообщений:

Отправлено 07 Май 2009 - 21:07

Это обнаруживается, только если они оба работают одновременно?
Или даже тогда, когда они выходят в сеть попеременно?


одновременно

#12 Ilya Evseev

Ilya Evseev

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 08 Май 2009 - 14:35

Это обнаруживается, только если они оба работают одновременно?
Или даже тогда, когда они выходят в сеть попеременно?

одновременно

Даже если они оба сидят за роутером/NAT'ом и с точки зрения сервера имеют одинаковый IP?

#13 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 234 Сообщений:

Отправлено 08 Май 2009 - 16:20

Это обнаруживается, только если они оба работают одновременно?
Или даже тогда, когда они выходят в сеть попеременно?

одновременно

Даже если они оба сидят за роутером/NAT'ом и с точки зрения сервера имеют одинаковый IP?


мы никогда не интересуемся адресом, это величина переменная - dialup, dhcp. да и протокол совсем не обязательно IP

#14 Ilya Evseev

Ilya Evseev

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 23 Май 2009 - 19:43

сможет пользователь подобрать что-то подобное 208ff59cc-8439f-de11-e93c3-ff2dd380aa16?

Зачем? Ссылки на скачивание имеют вид .../download.ds?id=ivanov
Подобрать логин соседа не составит никакого труда.


Не стоит назначать ID вручную. пускай сервер их сам генерирует.

Сейчас в качестве ID мы используем логин из биллинга.
Если использовать GUID, то как мы поймём, какому фактическому пользователю
принадлежит та или иная учётная запись в avdesk?

#15 Anton Dobkin

Anton Dobkin

    Newbie

  • Dr.Web Staff
  • 82 Сообщений:

Отправлено 24 Май 2009 - 09:14

сможет пользователь подобрать что-то подобное 208ff59cc-8439f-de11-e93c3-ff2dd380aa16?

Зачем? Ссылки на скачивание имеют вид .../download.ds?id=ivanov
Подобрать логин соседа не составит никакого труда.


Не стоит назначать ID вручную. пускай сервер их сам генерирует.

Сейчас в качестве ID мы используем логин из биллинга.
Если использовать GUID, то как мы поймём, какому фактическому пользователю
принадлежит та или иная учётная запись в avdesk?


1. Можно, например, использовать шифрование при назначении ID в AV-Desk, если необходимо делать привязку к логину:

md5( md5(логин_ISP).salt ); где salt любое контрольное слово.

Например, md5( md5('pupkin').'abcd' ) = 7b19d9bdc30a2d77778d6744d3821045

У Вас в биллинге логин pupkin, а в AV-Desk ID 7b19d9bdc30a2d77778d6744d3821045

Пользователю подобрать не возможно, контрольное слово знаете только вы http://forum.drweb.com/public/style_emoticons/default/wink.png

2. Можно в своем биллинге хранить соотношение логин = ID AV-Desk

#16 Ilya Evseev

Ilya Evseev

    Newbie

  • Posters
  • 28 Сообщений:

Отправлено 25 Май 2009 - 00:08

1. Можно, например, использовать шифрование при назначении ID в AV-Desk, если необходимо делать привязку к логину:
md5( md5(логин_ISP).salt ); где salt любое контрольное слово.
Например, md5( md5('pupkin').'abcd' ) = 7b19d9bdc30a2d77778d6744d3821045
У Вас в биллинге логин pupkin, а в AV-Desk ID 7b19d9bdc30a2d77778d6744d3821045

Получается, что в консоли AVDesk'a клиент будет виден либо по IP,
либо по имени рабочей станции (которое может содержать любую чушь),
либо по GUID.
Понять, о каком клиенте идёт речь, без полного поиска по биллингу
при такой схеме совершенно невозможно.

2. Можно в своем биллинге хранить соотношение логин = ID AV-Desk

Биллинг сертифицированный, closed-source http://forum.drweb.com/public/style_emoticons/default/unsure.png

#17 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 234 Сообщений:

Отправлено 25 Май 2009 - 01:37

Понять, о каком клиенте идёт речь, без полного поиска по биллингу
при такой схеме совершенно невозможно.


есть такое поле как description, удобно как раз хранить ID в биллинге


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых