17 ответов в этой теме

[ЛСергей]

Попалась статья по безопасности. Автор настоятельно не рекомендует в кукис у клиента хранить пароли. "Не поможет шифрование в sha512 или blowfish и https, т.к. хакеры легко ломают любой брандмауэр и клиентские куки могут быть прочитаны хакером" .

Предлагает каждый раз вводить пароль пальцами. Я согласен, что надежней вводить каждый раз, но клиенты не очень хотят вводить пароль. Я выставил минимальную длину 10 символов и требую замену через 30 дней, не хотят вводить

Так ли уж легко и любой брандмауэр? Не очень верится. Напр. mail.ru и google используют https и куки с паролями хранят у клиента.

 

[demfloro]

Судя по всему указанная статья - мусор и речь в ней идёт о HTTP или под словом "брандмауэр" имеется ввиду слово "браузер".

 

Если этот хакер так может прочитать куки то что ему помешает прочитать каждый раз вводимый пароль? Если же речь идёт об атаке "человек по середине" то именно поэтому используется HTTPS, с его использованием для проведения такой атаки нужно правильно подделать сертификат, что намного сложнее.

Сообщение было изменено demfloro: 03 Май 2017 - 11:08

[Nenya Amo]

Печеньки следует вообще отключить и очищать при каждом выходе из веб-браузера, а то их слопает кто-то другой

Вообще, брандмауэр тут каким боком , веб-браузер следит в сети, и печеньки стряпает

[Dmitry Mikhirev]

Судя по всему указанная статья - мусор

Не могу не согласиться. Но идея хранить в куке пароль — за гранью добра и зла.

[demfloro]

Но идея хранить в куке пароль — за гранью добра и зла.

Судя по формулировкам под паролем имеется ввиду токен или сессия.

[ЛСергей]

 

Судя по всему указанная статья - мусор

Не могу не согласиться. Но идея хранить в куке пароль — за гранью добра и зла.

 

Как вы думаете, ebay.com где хранит пароль?

Каждый раз при оплате покупки на ebay через paypal.com поступает странное предложение от ebay "сохранить пароль для удобства".

[Dmitry Mikhirev]

Как вы думаете, ebay.com где хранит пароль?

Думаю, что нигде не хранит.

Каждый раз при оплате покупки на ebay через paypal.com поступает странное предложение от ebay "сохранить пароль для удобства".

Скриншот в студию.

[ЛСергей]

 

Как вы думаете, ebay.com где хранит пароль?

Думаю, что нигде не хранит.

Каждый раз при оплате покупки на ebay через paypal.com поступает странное предложение от ebay "сохранить пароль для удобства".

Скриншот в студию.

 

Если не нажать "выход" на ebay, а просто закрыть браузер, следующий раз для входа не нужны данные юсера и неделю не нужно вводить пароль, значит на компьютере юсера хранятся кукис и в SetCookie параметр $expire установлен на неделю.

Сриншот paypal с чекбоксом "сохранить" при следующей покупке обязательно сделаю.

[Dmitry Mikhirev]

Если не нажать "выход" на ebay, а просто закрыть браузер, следующий раз для входа не нужны данные юсера и неделю не нужно вводить пароль, значит на компьютере юсера хранятся кукис и в SetCookie параметр $expire установлен на неделю.

Это не значит, что в куке хранится пароль.

[basid]

Не очень верится. Напр. mail.ru и google используют https и куки с паролями хранят у клиента.

Иногда ошибочные знания хуже отсутствующих.
HTTP - протокол без состояния, но для удобства веб-разработчиков и пользователей сайта реализованы http-сессии.
Механизмов реализации два - cookies и URL rewrite. Второй - запасной вариант при невозможности использовать первый.
В куках хранится, как минимум, идентификатор http-сессии. С точки зрения web-сервера идентификатор это псевдослучайное число, а для клиента - какая-то строка, смысла которой клиент не понимает.

Идентификатор сессии - достаточный минимум. Весь остальной мусор передаётся на клиента только для того, чтобы уменьшить размер состояния сессии на сервере.

Минимально адекватные разработчики никогда не передают на клиента ни логин, ни пароль - это просто не требуется ни в одном из сценариев использования http-сессий и никак не уменьшает размер состояния сессии.

У механизма сессий есть свои уязвимости, но с хранением и передачей паролей они никак не связаны.

 

P.S. Пароль из 10 символов на 30 дней - утопия безопасника.

[ЛСергей]

 

Если не нажать "выход" на ebay, а просто закрыть браузер, следующий раз для входа не нужны данные юсера и неделю не нужно вводить пароль, значит на компьютере юсера хранятся кукис и в SetCookie параметр $expire установлен на неделю.

Это не значит, что в куке хранится пароль.

 

ОК, не пароль, но необходимые данные для входа в аккаунт

[ЛСергей]

Пароль из 10 символов на 30 дней - утопия безопасника.

Заказчик за https платить не хочет.

Я поставил счетчик попыток входа, после 3х блокирую аккаунт. По IP ограничить не могу, могут заходить с мобильных устройств с бесплатным wifi

[Dmitry Mikhirev]

Пароль из 10 символов на 30 дней - утопия безопасника.

Заказчик за https платить не хочет.

Во-первых, ограничение времени действия пароля не помогает от его перехвата, оно помогает только от брутфорса. Во-вторых, если нет денег — есть let's encrypt. Работать без шифрования, когда

могут заходить с мобильных устройств с бесплатным wifi

очень плохая идея.
И в-третьих, при таком ограничении у всех будут пароли 1111111111, 2222222222 и т. д., которые подбираются очень быстро. Человеческий фактор тоже надо учитывать.

Сообщение было изменено Dmitry Mikhirev: 06 Май 2017 - 19:44

[ЛСергей]

 

 

Пароль из 10 символов на 30 дней - утопия безопасника.

Заказчик за https платить не хочет.

 

Во-первых, ограничение времени действия пароля не помогает от его перехвата, оно помогает только от брутфорса. Во-вторых, если нет денег — есть let's encrypt. Работать без шифрования, когда

могут заходить с мобильных устройств с бесплатным wifi

очень плохая идея.
И в-третьих, при таком ограничении у всех будут пароли 1111111111, 2222222222 и т. д., которые подбираются очень быстро. Человеческий фактор тоже надо учитывать.

 

Я использую Blowfish, до этого использовал SHA-512. На повтор символов проверяю, но толку... пароли хранятся обычно в чехле мобильного устройства.

Насчет паролей, я знаю одну фирму (пластиковой посудой занимаются и больше 200 пользователей),  где пароли у всех всех одинаковые, их админ так придумал. Имя записывается английскими буквами, первая буква большая и после нее 123654 или 123123. Он потом очень удивлялся, что его оракл базу кто-то того.

[ЛСергей]

Dmitry Mikhirev, вот, как и обещал

 

Прикрепленные файлы:

•  _2017-05-13_200114.jpg   125,11К   0 Скачано раз

Сообщение было изменено ЛСергей: 13 Май 2017 - 21:20

[Dmitry Mikhirev]

И причём тут пароль в куках? Сохраняется не пароль, который ebay вовсе не видит, а, скорее всего, токен OAuth2 или что-то наподобие.

[ЛСергей]

И причём тут пароль в куках? Сохраняется не пароль, который ebay вовсе не видит, а, скорее всего, токен OAuth2 или что-то наподобие.

ОК, токен в куках, а не пароль, но разве с этим токен нельзя входить без пароля на PayPal?

[Dmitry Mikhirev]

Нет, нельзя. Почитайте, как работает OAuth2.