форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как передаётся пароль при авторизации в squid?"

Сообщение от SergeiZz on 24-Ноя-06, 11:06

Из браузера в squid при авторизации пароль передаётся не в открытом же виде? Простой вопрос, но по докам вроде https://www.opennet.ru/base/net/squid_auth.txt.html никак не могу найти ответ. Если у браузера запрашивается пароль по Basic Authentication, то он в открытом виде бедет передаваться, что глупо даже для среднего размера организации. Как будет передаваться пароль при авторизации в squid: в открытом виде или как-нибудь по SSL или как ещё?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Как передаётся пароль при авторизации в squid?"

Сообщение от Sloboda (??) on 24-Ноя-06, 12:15

http://squid.org.ua/FAQ/my/FAQ-23.html#ss23

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Как передаётся пароль при авторизации в squid?"
	Сообщение от SergeiZz on 24-Ноя-06, 12:37
	>http://squid.org.ua/FAQ/my/FAQ-23.html#ss23 Большое спасибо. Я искал вот этот абзац: --------------------------------------------- ЗАМЕЧАНИЕ: Имя и пароль кодируются с использованием ``base64'' (см. раздел 11.1 RFC 2616). Однако base64 это только кодирование binary-to-text, при кодировании информация НЕ шифруется. Это означает, что имя пользователя и пароль фактически передаются ``открытым текстом'' между броузером и прокси. Поэтому вы не должны использовать тот же пароль и имя пользователя, который вы используете для вашего аккаунта --------------------------------------------- Мой вывод: Для авторизации доступа использовать squid НЕЛЬЗЯ. И про возможность авторизации доступа через squid нужно ЗАБЫТЬ.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как передаётся пароль при авторизации в squid?"
	Сообщение от Sloboda (??) on 24-Ноя-06, 13:57
	>Мой вывод: >Для авторизации доступа использовать squid НЕЛЬЗЯ. И про возможность авторизации доступа >через squid нужно ЗАБЫТЬ. Какой вы катерогичный! Или у вас хабы стоят вместо свичей? Бог с ними, с паролями, можно http-трафик слушать. Впрочем, для каждых конкретных условий нужно выбирать баланс безопастности/удобства/производительности. Можно шифрованный тунель от клиента до прокси сделать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как передаётся пароль при авторизации в squid?"
	Сообщение от SergeiZz on 25-Ноя-06, 16:09
	>>Мой вывод: >>Для авторизации доступа использовать squid НЕЛЬЗЯ. И про возможность авторизации доступа >>через squid нужно ЗАБЫТЬ. > >Какой вы катерогичный! >Или у вас хабы стоят вместо свичей? Вы, похоже, не знаете, что свичи не спасают от прослушки трафика. Пошелестите пакетом dsniff -- поверьте, из-за свича слушать не проблема. >Бог с ними, с паролями, можно http-трафик слушать. Если пароль можно перехватить, запустив единственную программу, легко доступную в Сети, то зачем вообще авторизация по именам и паролям? Ну, из за свича, конечно, не одна а две программы -- но велика ли разница? >Впрочем, для каждых конкретных условий нужно выбирать баланс безопастности/удобства/производительности. Правило простое, как мне видится: если компьютеры локальной сети стоят не в одной комноте, в которой постоянно сидит админ, то передавать пароли в открытом виде по сети нельзя. >Можно шифрованный тунель от клиента до прокси сделать. Задача в том, чтобы не делать шифрованного туннеля. Требуется только, чтобы трафик нельзя было воровать, слушать -- сколько угодно. Думаю периодически запрашивать количество открытых TCP соединений от клиента к серверу да сравнивать их с тем же числом от сервера к клиенту -- если не совпали, начинаем охоту на халявщиков (не есть большая проблема отловить, проблема не мониторить это постоянно). Всё, чего не хватает -- приличной авторизации клиентов. Похоже, что нужно писать свою.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Как передаётся пароль при авторизации в squid?"
	Сообщение от Sloboda (??) on 27-Ноя-06, 17:30
	>Вы, похоже, не знаете, что свичи не спасают от прослушки трафика. >Пошелестите пакетом dsniff -- поверьте, из-за свича слушать не проблема. Честно, да, глубоко этой темой не владею. Но, всё-равно, мне кажется нужно бороться с первопричиной. Если слушают из-за свича, значит или нужен серьезный свич, с связкой arp-ip и защитой от arp-спуфинга, или шифрованный канал в заведомо прослушиваемой среде. >Думаю периодически запрашивать количество открытых TCP соединений от клиента к серверу да >сравнивать их с тем же числом от сервера к клиенту -- если Обратите внимание на max_user_ip http://www.visolve.com/squid/squid30/accesscontrols.php#max_user_ip, возможно пригодиться. NTLM и LDAP тоже не подходят?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Как передаётся пароль при авторизации в squid?"
	Сообщение от SergeiZz on 27-Ноя-06, 18:22
	>Но, всё-равно, мне кажется нужно бороться с первопричиной. >Если слушают из-за свича, значит или нужен серьезный свич, с связкой arp-ip >и защитой от arp-спуфинга, или шифрованный канал в заведомо прослушиваемой среде. В данный момент именно шифрованный канал и есть. И имея его на протяжении двух месяцев, уже все поголовно пользователи, как Windows так и Linux очень хотят, чтобы его снова нестало. Поменять же свичи по этому поводу не реально. >Обратите внимание на max_user_ip http://www.visolve.com/squid/squid30/accesscontrols.php#max_user_ip, >возможно пригодиться. Про контроль по IP адресам я довольно плотно начитался уже. Пакость в том, что нехорошие товарищи, имеющие права администратора на рабстанции могут с лёгкостью менять и IP и MAC адреса. Понятно, что в здравой организации пользователи персоналок не должны иметь прав рута на них, и тогда все проблемы уйдут, но в реальной жизни всё не так, как хотелось бы. >NTLM и LDAP тоже не подходят? Потребует не малых усилий по развёртыванию, особенно, если учесть, что полным полно машин даже не с Windows 98, а с Windows 95 (есть и с MS DOS, но они не всчёт). По части же Linux LDAP очень заманчиво выглядит. Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Как передаётся пароль при авторизации в squid?"
	Сообщение от SergeiZz on 27-Ноя-06, 18:48
	>Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание. Да... но... Пароль-то опять в открытом виде передаваться бедет? Тут ж фундаментальная проблема не в Squid, а в браузерах -- это они не умеют ничего, кроме глупого Basic Authentication.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Как передаётся пароль при авторизации в squid?"
	Сообщение от Sloboda (??) on 27-Ноя-06, 19:01
	>>Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание. >Да... но... >Пароль-то опять в открытом виде передаваться бедет? >Тут ж фундаментальная проблема не в Squid, а в браузерах -- это >они не умеют ничего, кроме >глупого Basic Authentication. Разве? А Digest? А NTLM?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Как передаётся пароль при авторизации в squid?"
	Сообщение от SergeiZz on 28-Ноя-06, 18:13
	>>>Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание. >>Да... но... >>Пароль-то опять в открытом виде передаваться бедет? >>Тут ж фундаментальная проблема не в Squid, а в браузерах -- это >>они не умеют ничего, кроме >>глупого Basic Authentication. > >Разве? А Digest? А NTLM? Ха! И в том и другом случае по сети передаётся в открытом виде хеш пароля. Это защита только от полных идиотов, которым нужно знать текст пароля, чтобы послать его на сервер. Единственный способ уберечься -- это шифрованный SSL туннель между браузером и Squid. Тогда можно и текстом передавать -- не выловешь. Интересно; браузеры поголовно поддерживают SSL, Squid -- аналогично; в чём проблема принять стандарт авторизации по SSL туннелю вместо явно устаревшего Basic Authentication? никак не пойму. Мне бы даже просто ident подошёл для Linux, если бы он тоже в открытом виде не передавал...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как передаётся пароль при авторизации в squid?"

Сообщение от idle (ok) on 24-Ноя-06, 16:52

>Как будет передаваться пароль при авторизации в squid: в открытом виде или >как-нибудь по >SSL или как ещё? Это зависит от способа авторизации, которых могут быть мириады. В некоторых вариантах он даже не передаётся(прозрачная аутентификация).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Как передаётся пароль при авторизации в squid?"
	Сообщение от SergeiZz on 25-Ноя-06, 16:20
	>>Как будет передаваться пароль при авторизации в squid: в открытом виде или >>как-нибудь по >>SSL или как ещё? >Это зависит от способа авторизации, которых могут быть мириады. В некоторых вариантах >он даже не передаётся(прозрачная аутентификация). Увы. Способ авторизации один -- Basic Authentication. Даже Digest Authentication слишком плохо поддерживается браузерами (причём, она, в сущности, ничем не лучше). Проверка пароля на сервере -- вот это можно сделать миллионом способов; пароль как на сервер передать? -- вот проблема. Если можете привести пример, как передать пароль, набранный в браузере Firefox, не в открытом виде -- буду очень признателен. Организовать свой альтернативный способ авторизации, -- понятно, не проблема, кроме того, что клиент должен будет устанавливать дополнительное ПО, а мы то ПО писать и сопровождать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Как передаётся пароль при авторизации в squid?"
	Сообщение от idle (ok) on 25-Ноя-06, 17:26
	>Увы. >Способ авторизации один -- Basic Authentication. Даже Digest Authentication слишком плохо С чего Вы это взяли? В сквиде три встроенных способа аутентификации(всё-таки мы говорим об аутентификации, а не авторизации, это разные вещи) - basic, digest и ntlm. Плюс поддержка внешних хэлперов, которая позволяет легко настроить всё что заблагорассудится. >Организовать свой альтернативный способ авторизации, -- понятно, не проблема, кроме того, >что клиент должен будет устанавливать дополнительное ПО, а мы то ПО писать >и сопровождать. Не надо ничего писать, надо внимательно прочесть документацию. http://www.visolve.com/squid/squid30/externalsupport.php#external_acl_type
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Как передаётся пароль при авторизации в squid?"
	Сообщение от SergeiZz on 27-Ноя-06, 15:59
	>В сквиде три встроенных способа аутентификации(всё-таки мы >говорим об аутентификации, а не авторизации, это разные вещи) - basic, >digest и ntlm. Плюс поддержка внешних хэлперов, которая позволяет легко настроить >всё что заблагорассудится. basic, digest и htlm не подходят. Назовите ключевое слово, которое я должен набрать в google, чтобы найти "внешний хелпер", распространяемый по GPL, который позволил бы пользователям и Windows и Linux вводить пароль так, чтобы он не передавался по сети в открытом виде.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]