Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Обращение к формам ввода пароля по HTTP отмечено в Firefox к..., opennews (?), 23-Окт-15, (0) [смотреть все] Владельцы фишинговых сайтов в срочном порядке отправляются на letsencrypt org , tensor (?), 11:10 , 23-Окт-15, (1) +18 // Они уже у китайцев затарились , pavlinux (ok), 02:58 , 25-Окт-15, (107) Давно пора , Аноним (-), 11:10 , 23-Окт-15, (2) +7 // Смысл Как совершенно справедливо отметили, те, для кого мошенничество -- ниче, Michael Shigorin (ok), 14:22 , 23-Окт-15, (40) +4 // Ну так иначе эти хозяева гостевушек вообще никогда не почешутся , Crazy Alex (ok), 15:32 , 23-Окт-15, (50) +2 // Не почешутся они что так что эдак Увеличится только скорость, с которой полезный, rob pike (?), 16:31 , 23-Окт-15, (55) +1 Если они вообще туда не заходят - полезный контент останется всё там же, где и б, Crazy Alex (ok), 19:07 , 23-Окт-15, (72) +1 Им и не надо чесаться, т к они не собирают персональных данных, не требуют остав, Хомячелло (?), 09:50 , 24-Окт-15, (95) +1 Для большинства ресурсов авторизация - способ проверить, что ты не робот и тольк, Хомячелло (?), 09:52 , 24-Окт-15, (96) Давай, большинство само решит, что из него кому надо, а ты от имени этого больши, Sluggard (ok), 14:39 , 24-Окт-15, (97) +1 по крайней мере им будет сильно сложнее , Аноним (-), 16:39 , 23-Окт-15, (57) Это все из серии DNT, CORS и т д Пытаются сделать видимость улучшения защиты, , rshadow (ok), 18:27 , 23-Окт-15, (69) +1 // Согласен, решать должен либо пользователь, либо владелец сайта, а диктат условий, cmp (ok), 18:33 , 23-Окт-15, (70) Тут все отлично Владелец сайта может ничего не делать, пользователь - пользоват, Alexey (??), 19:46 , 23-Окт-15, (78) новый этап засовывания всея интернета в https, Аноним (-), 11:35 , 23-Окт-15, (3) +7 // Как будто что то плохое , Аноним (-), 11:49 , 23-Окт-15, (5) +6 // хз, я не верю, что это всё только ради нашей безопасности, вся эта движуха не сп, Аноним (-), 12:29 , 23-Окт-15, (16) +2 // вся эта движуха чтобы кормить нас рекламой, ибо в https резка оной намного гемор, xaxaxa (?), 14:17 , 23-Окт-15, (38) +3 Скорее уж наоборот, никакие ушлые провайдеры , типа точек доступа в московском , Аноним (-), 14:20 , 23-Окт-15, (39) +6 ну, т е гуглу нас кормить рекламой будет можно, а билайну нет, Аноним (-), 14:24 , 23-Окт-15, (43) +4 А рекламу гугла порежут uBlock uMatrix, совершенно спокойно , Crazy Alex (ok), 15:33 , 23-Окт-15, (52) +4 угу, если их не купят добрые корпорации или если мозилла не решит друг от подобн, Аноним (-), 13:03 , 25-Окт-15, (110) +1 если резать на уровне прокси -- да, геморнее на уровне браузера -- никакой разн, й (?), 16:49 , 23-Окт-15, (60) +3 да в общем, ничего особо хорошего Как, например, удобно cтановится отлаживать , . (?), 12:33 , 23-Окт-15, (17) // Быдло кодерам всегда плохо Они часто даже просто ПО не обновляют , qwerty (??), 13:14 , 23-Окт-15, (24) +3 нколеночный сорм в виде расширения к брузеру спасёт, по идее А так - пока это , Crazy Alex (ok), 13:45 , 23-Окт-15, (32) Надейтесь Как показывает практика, именно так большинство пользователей и посту, freehck (ok), 14:39 , 23-Окт-15, (46) +3 Мне, обычному пользователю, пришлось нынче регистрироваться в Эльдораде Конечно,, тоже Аноним (ok), 14:56 , 23-Окт-15, (48) –3 В таком случае лучше придумать маску myOwNm sk, и все пароли к малонужным сайта, Аноним (-), 19:18 , 23-Окт-15, (74) +1 Главное не забывать, что нынешний век длится лет 5-10 от силы , Aleks Revo (ok), 14:21 , 28-Окт-15, (115) Уменя вообще один пароль от 1password и больше знать не знаю , Аноним (-), 04:58 , 25-Окт-15, (108) В chromium есть поддержка для этого https www imperialviolet org 2012 06 25 wi, Аноним (-), 16:38 , 23-Окт-15, (56) Fidler подойдёт для перехвата трафика , Кукаретик (?), 03:59 , 24-Окт-15, (94) ну, в качестве аварийного решения - да, а в качестве удобной ручки для так, что, . (?), 13:39 , 26-Окт-15, (111) Шифрованный трафик плохо жмётся , anonymous (??), 13:36 , 23-Окт-15, (30) // я тебя удивлю, сначала сжимают, потом шифруют , Аноним (-), 04:59 , 25-Окт-15, (109) +1 Плохо, что большинство считает https защищённым каналом , user (??), 13:52 , 23-Окт-15, (35) –1 // Все зависит от допущений HTTP без S , при надлежащем контроле за физической сре, Аноним (-), 14:23 , 23-Окт-15, (42) +4 Все познается в сравнении По сравнению с http, это защищенный канал , XoRe (ok), 23:57 , 23-Окт-15, (91) Ага, и те же люди будут впаривать про зелёную энергетику и прочую прозрачност, Michael Shigorin (ok), 14:22 , 23-Окт-15, (41) –1 // И где противоречие , Crazy Alex (ok), 15:34 , 23-Окт-15, (53) СОРМ-2 плачет кровавыми слезами , Alex (??), 11:52 , 23-Окт-15, (7) // Не совсем Там же главная фишка это сравнение времени соединений и размера пакет, qwerty (??), 13:18 , 23-Окт-15, (25) +1 // Узнать можно, а вот доказать будет проблематично Хотя согласен - в условиях росс, Alex (??), 23:43 , 23-Окт-15, (88) Там, где актуален СОРМ и прочая - доказывать ничего не требуется, независимо от , Aleks Revo (ok), 14:26 , 28-Окт-15, (116) К тому же, есть тип атаки по паттернам трафика - отпечаток сайта В базе хранитс, qwerty (??), 13:22 , 23-Окт-15, (27) // Это вообще уже из области паранойи Паттерны есть только у сайтов с предсказуемы, Alex (??), 23:45 , 23-Окт-15, (89) Это хорошо, нелегитимные органы должны страдать , user (??), 13:53 , 23-Окт-15, (36) // Нелегитимные давно уже протрясли свои пейсбук и гугль добрым словом и, видимо, ч, Michael Shigorin (ok), 14:24 , 23-Окт-15, (44) –7 Уже давно пора Очень долго тянули , th3m3 (ok), 12:21 , 23-Окт-15, (13) –1 этот раз вполне может закончиться успехом, Нанобот (ok), 12:37 , 23-Окт-15, (18) –1 Разумным компромиссом была бы разработка стандарта, позволяющего сосуществование, Аноним (-), 11:46 , 23-Окт-15, (4) –1 // И утечка оного через Javascript Спасибо, не надо , Alex (??), 11:53 , 23-Окт-15, (9) // Вот с этого и надо начинать Выпилить наконец этот дырявый Javascript , anonymous (??), 13:38 , 23-Окт-15, (31) +1 // При всей нелюбви ко всему, что содержит в названии java , таки поинтересуюсь а, Nas_tradamus (ok), 13:49 , 23-Окт-15, (33) –1 Перестать путать документы и приложения Для документов не нужна интерактивность, user (??), 13:56 , 23-Окт-15, (37) +5 можно ссылочку на парочку ваших приложений кто-то ими пользуется вы, наверное, , й (?), 16:42 , 23-Окт-15, (58) +2 миллионы мух не могут ошибаться, user (??), 17:00 , 23-Окт-15, (62) +1 да нет, могут особенно те, которые кричат в интернетах, что лучше всех знают, к, й (?), 17:20 , 23-Окт-15, (63) Ага, сперва добейся гугол едишн Впрочем, подмять весь интернет под себя я не сч, anonymous (??), 19:18 , 23-Окт-15, (75) +1 Не 171 сперва 187 , а вообще 8212 171 добейся 187 - Гугл сотоварищи -, Aleks Revo (ok), 14:32 , 28-Окт-15, (117) То есть юзер, которому Вы отвечали, не жаждет пользовательской инфы, не пытается, Sluggard (ok), 14:48 , 24-Окт-15, (98) Какой толк от интерактивности Плавно выезжающая реклама, превращающая не слаый , Аноним (-), 16:48 , 27-Окт-15, (114) Чувак ты не на ту гравицапу нажал, созвездие Лебедя это 150 парсеков на юг, , . (?), 16:49 , 23-Окт-15, (61) В терии - да На практике все сложнее Вот же ж глупая практика, на ней всегда вс, dr Equivalent (ok), 17:22 , 23-Окт-15, (64) на практике в голове у людей мусор, поэтому они не могут отличить, где нужно при, Crazy Alex (ok), 17:33 , 23-Окт-15, (66) +1 вот вы щас в приложение или в документ писали , й (?), 17:41 , 23-Окт-15, (67) +1 В приложение, разумеется Документ - штука по определению статическая, писать в , Crazy Alex (ok), 19:11 , 23-Окт-15, (73) ну, тогда к чему недовольствие тем, что современный веб -- это по сути веб-прило, й (?), 19:58 , 23-Окт-15, (79) Тем, что из концептуального бардака вырос бардак технологический В результате -, Crazy Alex (ok), 19:35 , 24-Окт-15, (104) вы это про скайп написали , й (?), 13:46 , 26-Окт-15, (113) бонусный вопрос а вот ещё бывают приложения для редактирования документов любо, й (?), 17:45 , 23-Окт-15, (68) +1 Документ в данном контексте получается на выходе приложения-редактора Когда там, Crazy Alex (ok), 19:18 , 23-Окт-15, (76) +2 Два чая этому господину Добавлю только, что мощность современных вычислительных, anonymous (??), 19:35 , 23-Окт-15, (77) +2 да не вопрос, пересылайте дальше документы по uucp так нет же -- открывают нена, й (?), 20:12 , 23-Окт-15, (80) Что обычно только затрудняет работу с ней через вменяемые интерфейсы типа Emacs , rob pike (?), 21:36 , 23-Окт-15, (82) Что там хорошо для корпоратива - песня совершенно отдельная Я пишу о нормальном, Crazy Alex (ok), 19:41 , 24-Окт-15, (105) оффлайн-режим push notifications больше контроля за тем, кто и как используе, й (?), 13:45 , 26-Окт-15, (112) Приложение - устанвоил на хорошем канале и пользуйся на плохом мегабайты веб-мо, Aleks Revo (ok), 14:41 , 28-Окт-15, (118) откройте для себя наконец-то lynx и не учите, как остальным жить , й (?), 16:43 , 23-Окт-15, (59) Судя по количеству адблоков и ноускриптов они не живут, а страдают Вэб в текуще, anonymous (??), 18:43 , 23-Окт-15, (71) +4 Погоди хоронить Не все ещё WebGL насладились , Sluggard (ok), 14:50 , 24-Окт-15, (99) Это для 3D-баннеров , user (??), 14:56 , 24-Окт-15, (101) Наверное Или чтоб картошку на Ферме сажать объёмную , Sluggard (ok), 14:57 , 24-Окт-15, (102) т е если пароль солится или криптуется по http это конечно не в счет , manster (ok), 11:51 , 23-Окт-15, (6) +1 // А вот кстати да, я уже давно юзаю CRAM-авторизацию в некоторых сервисах, где HTT, Alex (??), 11:54 , 23-Окт-15, (10) Всмысле по http подключается JS с реализацией хэш-функции sha256, 8230 1 Т, arzeth (ok), 12:15 , 23-Окт-15, (11) // Можно перехватывать все, что шлется по небезопасному каналу, поэтому нужно в люб, manster (ok), 13:06 , 23-Окт-15, (21)   // Динамическая соль требует хранения пароля в незашифрованном виде на сайте Избавл, тоже Аноним (ok), 13:51 , 23-Окт-15, (34)   использование статической соли бессмысленно ибо зная соль несложно сгенерить таб, manster (ok), 14:32 , 23-Окт-15, (45)   Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если сол, тоже Аноним (ok), 14:53 , 23-Окт-15, (47)   пересолю, manster (ok), 15:27 , 23-Окт-15, (49)   Это рентабельнее на много и доступнее, чем тупой перебор , manster (ok), 15:32 , 23-Окт-15, (51) –1   А кто мешает посчитать хеш, хранимый в базе, на клиенте, и от него посчитать уже, Alex (??), 23:38 , 23-Окт-15, (85)   И снова мимо можно посчитать хеш от челенджа хеша исходного пароля , Alex (??), 23:36 , 23-Окт-15, (84)   Нет, не становится Читать про CRAM - оно будет каждый раз разным Ну, на само, nuclight (??), 13:32 , 23-Окт-15, (29) +1 Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом П, Alex (??), 23:35 , 23-Окт-15, (83) // Речь идет об SCRAM , manster (ok), 23:51 , 23-Окт-15, (90) Отличный велосипед значит либо у вас нас на сайте в базе данных реальные пароли, MidNight_er (?), 12:17 , 23-Окт-15, (12) // Отличный способ узнать, как на самом деле , manster (ok), 13:07 , 23-Окт-15, (22) Не можно Учите матчасть , Alex (??), 23:38 , 23-Окт-15, (86) // Можно Учите матчасть , MidNight_er (?), 15:13 , 24-Окт-15, (103) Тут учить нечего, достаточно понимать, что вычисления хэша на сервере и на клиен, тоже Аноним (ok), 22:48 , 24-Окт-15, (106) –1 то есть все форумы и всякие админки вордпресса будут должны по HTTPS работать , Georges (ok), 11:52 , 23-Окт-15, (8) +1 // Лучше бы - да А так, это же просто предупреждение , th3m3 (ok), 12:23 , 23-Окт-15, (14) +1 Не должны Просто будет помечаться, что не безопасно , Имя (?), 13:19 , 23-Окт-15, (26) +2 Всё, что использует session id, должно работать по HTTPS Потому что все хеши-па, Alex (??), 23:40 , 23-Окт-15, (87) // Ну давай, расскажи нам как установить tcp соединение со спуфленным ип и послать , Аноним (-), 00:38 , 24-Окт-15, (93) +1 Ну а что с админками роутерными делать , Аноним (-), 12:29 , 23-Окт-15, (15) +4 // не пользоваться , Товарищ Майор (?), 12:55 , 23-Окт-15, (19) –1 ходить в них из интернет эксплорера мозиловцы так и делают , имя (?), 12:55 , 23-Окт-15, (20) –1 туннели, manster (ok), 13:08 , 23-Окт-15, (23) Ну, а в чём проблема Ну, будет warning, и всего-то , IZh. (?), 13:32 , 23-Окт-15, (28) +3 // Дело в том что глупо показывать предупреждение для подключения по HTTP через шиф, Аноним (-), 16:27 , 23-Окт-15, (54) +2 // Это если VPN идёт прямо до сервера сайта А если VPN, допустим, в Европу, а дале, IZh. (?), 20:35 , 23-Окт-15, (81) +1 Ставить OpenWRT , dr Equivalent (ok), 17:27 , 23-Окт-15, (65) +1 Админка OpenWRT умееет https В последнем релизе даже уже в конфиг uhttpd добави, анонимус (??), 00:00 , 24-Окт-15, (92) Не вижу в этом смысла Похоже на маркетинговый ход, ведь у юзеров будет создават, Аноним (-), 14:53 , 24-Окт-15, (100) 1,2,3,4,6,8,15,100

Сообщения

[Сортировка по времени | RSS]

	21. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+/–
	Сообщение от manster (ok), 23-Окт-15, 13:06
	Можно перехватывать все, что шлется по небезопасному каналу, поэтому нужно в любом случае криптовать на клиенте пароль или соль - все что угодно, что не компрометирует. В том то и дело, что соль динамическая, а в случае статической соли да: хэш это пароль. Атакующий просто не успеет компрометировать систему при динамической соли. JS можно подменить- да. Но можно и проверить факт подмены - способы есть. В конце концов можно открыть файл JS у себя локально на компьютере или вообще использовать стороннее приложение для расчетов.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+/–
	Сообщение от тоже Аноним (ok), 23-Окт-15, 13:51
	Динамическая соль требует хранения пароля в незашифрованном виде на сайте. Избавляемся от перехвата, создаем дыру на случай слива. Незачет.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+/–
	Сообщение от manster (ok), 23-Окт-15, 14:32
	использование статической соли бессмысленно ибо зная соль несложно сгенерить таблицы, прятать соль сводится к роли пароля, что еще более бессмысленно храни в зашифрованном виде - что мешает?
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+/–
	Сообщение от тоже Аноним (ok), 23-Окт-15, 14:53
	Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у каждой записи своя. А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным с другой солью?
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+/–
	Сообщение от manster (ok), 23-Окт-15, 15:27
	пересолю
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	–1 +/–
	Сообщение от manster (ok), 23-Окт-15, 15:32
	> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у > каждой записи своя. Это рентабельнее на много и доступнее, чем тупой перебор.
	Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

	85. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+/–
	Сообщение от Alex (??), 23-Окт-15, 23:38
	> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у > каждой записи своя. > А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным > с другой солью? А кто мешает посчитать хеш, хранимый в базе, на клиенте, и от него посчитать уже разовый хеш?
	Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

	84. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+/–
	Сообщение от Alex (??), 23-Окт-15, 23:36
	> Динамическая соль требует хранения пароля в незашифрованном виде на сайте. > Избавляемся от перехвата, создаем дыру на случай слива. > Незачет. И снова мимо: можно посчитать хеш от челенджа+хеша исходного пароля.
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема