|
Cytat:
1. Skrypt tnie z postów linki img src - proste. 2. Skrypt ładuje hotlinkowany obrazek i wyświetla go z własnej domeny - niebezpieczne z wielu powodów (także prawnych) :) i zasobożerne. Jeśli już to ładowanie powinno być do cache + sprawdzanie czy img istnieje (ale to fail, z uwagi na to sprawdzanie) 3. Skrypt ciacha jak w pkt.1, ałe daje ajaxowy box, którym można wyświetlić na żądanie (bez uwierzytelniania). 4. Skrypt ciacha wszelkie obrazki (także avatary, buttony, banery itd), zarówno z domeny jak i spoza - oszczędzamy zasoby, bo SSL to ładnie ssie (zarówno serwer jak i browsera na wolniejszych komputerach). Wszelkie obrazki w postach mogłyby być w ajaxowym boxie (user klika i dopiero widzi - uwierzytelnione, szyfrowane) Nie jest to kosmos do wdrożenia, w miarę prosta sprawa. Pkt 4 jest najlepszy. I upieram się, że nie zrobienie powyższego byłoby failem we wdrożeniu zabezpieczenia :) To tak jakby założyć kłódkę na drzwi, które z zawiasów wylatują od kopniaka. O, masz na niebezpieczniku: http://niebezpiecznik.pl/post/kraty-...ia-w-kartonie/ SSL wdraża się m.in. dla poufności, a co to za poufność gdy ruski serwer widzi, że oglądam cycki w Śmietniku :) //edit inna sprawa to gemiusy, adserwery itd, ale to już osobna sprawa |
Cytat:
Niestety nie da się na to nic poradzić, nie jest to błąd wdrożenia SSLa jak pisałeś a tylko to że internet nie jest siecią scentralizowaną i nie da się uniknąć linkowania do serwisów bez HTTPS. Cytat:
|
Absolutnie nie kwestionuję tego co mówisz, w oczywisty sposób masz rację co do istoty SSL.
Zwracam tylko uwagę na drobny szczegół (nie jest to bardzo istotne), że witryna w całości objęta SSLem nie powinna mieć zawartości nieszyfrowanej. Jeśli hotlinkowane obrazki (img src z obcej domeny) zostałyby przeniesione do domeny objętej SSL (czyli na forum jako załącznik) to wtedy wszystko jest git. Ewentualnie obrazki na subdomenie cdrinfo (bez SSL). Albo skrypt przy połączeniu SSL po prostu wycina img src do obcych domen i nic nie jest wyświetlane. Oczywiście dokładnie ten sam problem występuje przy witrynie bez żadnego SSL. Zgadzasz się teraz? :) Bo na razie to rozmawiamy tak: Ja mówię: garaż trzeba zamknąć na kłódkę i zasłonić okno, aby nie pokradli i nie podejrzeli co tam robimy. A Ty na to: Bzdurka. Kłódka służy do tego aby przekręcić w niej kluczyk o 360 stopni i schować do kieszeni. Przeglądarki plują się przy takiej zawartości, nie tylko przy przejściu z HTTPS do HTTP, jak mówisz (choć oczywiście zależy to od ustawień, ale w defaulcie chyba tak wszystkie mają). //edit komunikat fx: "strona zawiera treści nieuwierzytelnione" |
Cytat:
Cytat:
Cytat:
Cytat:
Cytat:
Cytat:
Powiedzenie, że obejmuje całe forum SSLem oznacza, że każde połączenie do serwera WWW jest szyfrowane. Dzięki temu napastnik nie przechwyci twoich sesji, nie podejrzy co wysyłasz/odbierasz. |
andy,
wydaje mi się, że nie rozumiemy się :) Ja nie mówię o żadnych odnośnikach. Mówię o contencie z innych domen. Obrazek w moim scenariuszu nie zawiera żadnego linka (zresztą jak obrazek może linka zawierać?) - jest zwyczajnym JPEG, który chcę zapisać do twojego cache, abym mógł Ciebie zidentyfikować na zupełnie innej witrynie. Jeśli wykryję, że masz w cache ten obrazek, to wyświetlam stronę przygotowaną pod Ciebie. Załóżmy, że było to na serwerze policyjni.pl, do którego uzyskałem dostęp i właśnie wykorzystałem... Nikt inny nie widzi tej strony, każdy kto nie ma w cache tego obrazka widzi oryginalną zawartość. A znowuż Ty na policyjni.pl nie zobaczysz obrazka :) Dzięki jednemu obrazkowi wstawionemu na Onion (gdyby można było), widzę wszystkie IP które obejrzały ten wątek. Jeśli jestem ze służb, to mam też adresy abonentów łącza. Porównuję uzyskaną listę z listą zboczeńców, wywrotowców itd ;) I cała prywatność TORa o kant d... przez jeden obrazek. To samo dotyczy witryny zabezpieczonej przez SSL. Jeśli wyświetla ona content z innych domen, to jest to dziura we wdrożeniu (nie w SSL), bo nie zapewniamy chociażby poufności. User albo ma złudne poczucie prywatności albo jest świadomy i narażamy go na wyświetlanie treści idącej poza tunelem. Jeśli przeglądarka wyświetli ostrzeżenie: ZU zaakceptuje bezmyślnie, co jest jeszcze gorsze niż brak zabezpieczeń. Rozwiązaniem jest wycięcie contentu spoza domeny. Zgadzasz się? :) Cytat:
Ale właśnie chodzi o zasoby. Jakby się dwóch raz na dobę zalogowało po SSL, to jest to zupełnie co innego niż wszyscy logujący się tak, czy potrzebują czy nie. |
Cytat:
Cytat:
SSL jest po to i tylko po to aby zapewnić poufność oraz bezpieczeństwo między dwoma punktami - np. Tobą i serwerem WWW, SSL nie zapewnia tego że strona jest wolna od odnośników szkodliwych, nie zapewnia że to jest bezpieczne miejsce bo niby jak? Od tego są inne warstwy zabezpieczające. Cytat:
Cytat:
Cytat:
Polecam zobaczyć cały wykład. :D Cytat:
Cytat:
Cytat:
Sam osobiście wolę rozwiązanie pomiędzy super prywatnością a super wygodą. Zresztą tak samo mam jeżeli chodzi o bezpieczeństwo. Cytat:
Wprowadzenie SSLa tylko dla konkretnych użytkowników było by o wielie trudniejsze niż wprowadzenie tego dla wszystkich. No ale jak Bartez wcześniej napisał skoro nie ma sprzętu do tego to nie ma o czym mówić. Choć dla testów mógłby postawić SSLa na samo uwierzytelnienie forum(na razie cert self signed) aby zobaczyć jak bardzo będzie to obciążać serwer. Jeżeli obciążenie będzie akceptowalne to można by wykupić płatny certyfikat. |
Cytat:
O wiele groźniejsze są takie scenariusze jak przedstawiłem czy np. kret który przejął konto, ale nie robi z tego użytku - do czasu. Niemniej całe forum po SSL dziwnie by wyglądało... Może tylko jako opcjonalny formularz logowania i to też dostępny dla stałych userów, na życzenie. Ale wątpię, aby adminowi chciało się :) A samo logowanie po SSL, to nie mam zdania. Z jednej strony jakieś zabezpieczenie, ale z drugiej skoro jest obejście, stwarza to złudne poczucie security. |
To, że ustawiam WPA2 i myślę nad radiusem, a nie stoję na WEP/WPA to już zaraz jestem paranoikiem? Cenię sobie prywatność i wiem, że jeśli się odpowiednio zabezpieczę to potencjalny script kieddies czy inny pedofil poszuka sobie innej ofiary. ;P
- - - A co do tematu, ja też nie widzę sensu SSL na forum. Bank rozumiem, ale forum? Eee, najwyżej się przywróci co trzeba. ;] |
Obrazek może być zupełnie nieszkodliwy.
1. Zamieszczam temat w "Komputerach" z hotlinkiem do obrazka. Zajrzysz :) 2. Wysyłam w PW linka do witryny w miarę uznanej, nie raportowanej. 3. Wiem, że to Ty zaglądasz, bo masz w cache obrazek - nie pobierasz go z mojego serwera. 4. Wyświetlam stronę spersonalizowaną. Niekoniecznie z exploitem. Może być np. treść mająca wywołać określone emocje, przygotowana pod Ciebie. Np. pornograficzny fotomontaż z twoim wizerunkiem. 5. Szukasz telefonu do admina tej strony. Owszem jest podany... 6. Spotykamy się. Morduję Ciebie :D Przed tym, jak mówisz, SSL nie chroni. Może stwarzać złudne poczucia bezpieczeństwa. Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki. Scenariusz oczywiście nieco dziurawy, ale można go dopracować :) btw nie wiem czy byłeś, ale z tego powodu na Onion Forum nie ma hotlinków. |
Cytat:
Jednak co jeżeli ktoś nie używa? Jeżeli taka osoba zostanie podsłuchana to ma problem. Wiem, że to wina takiej osoby no ale... @Bartez skoro już jesteśmy w tym temacie to czy hasła użytkowników są trzymane przynajmniej w MD5+jakiś salt ? :D Cytat:
Gdyby jednak obrazek miał np. linka do strony z malware+jakiś eksploit na przeglądarkę, Ty w niego klikasz (ostatnia sprawa Smartka) a twoja przeglądarka by była na niego podatna to jesteś ugotowany. SSL tutaj nic nie pomoże bo to tylko tunel pomiędzy Tobą(przeglądarka) a serwerem www CDRInfo. |
andy,
no tak, czytałem nawet. Myślałem, że może coś jeszcze. Z obrazkami chodzi o to; mamy taki obrazek: http://upload.wikimedia.org/wikipedi...roust_1900.jpg Mamy całe forum po SSL, jesteś zalogowany. Ten obrazek nie jest szyfrowany. Co mogę z tym zrobić? Chyba niewiele. Mogę poznać twoje IP, śledzić aktywność na tej stronie. Być może uda mi się zwabić na moją stronę, a twoją wizytę będę widział po cache browsera i odpalam kod especially for you. Mało, ale coś już jest :) |
Zgadzam się z Patrixem. Po pierwsze mamy za słabą maszynę, żeby ją jeszcze dodatkowo obciążać, a włączenie ssl wymaga sporo większych zasobów. Po drugie, nie widzę sensu, żeby to robić. Nie mamy tu nie wiadomo jak cennych danych, w razie kradzieży konta można je przywrócić. W razie skasowania postów można je przywrócić, więc to w żaden sposób nie wpłynie na bezpieczeństwo.
Jeżeli ktoś ma takie same hasła do różnych usług to już niestety jego problem i ssl tu czy tam niewiele pomoże. |
andy, i co Ci ktoś zrobi na takim forum ? Ukradnie/skasuje konto ?
Założysz wtedy nowe... ew. Bartez z backupa przywróci... Zacznie trollować na forum w Twoim imieniu ? Moderator wyczai inne IP i zmieni hasło na profil, ew. da bana do wyjaśnienia... to nie bank, po co tu na forum ssl... |
Cytat:
Co prawda można dodatkowo zabezpieczyć aby przechwycone ciastko na innej maszynie było nie do wykorzystania ale na bank i na to znajdzie się obejście. Cytat:
Myślisz, że dlaczego większość ważniejszych serwisów ciągnie dalej po HTTP ? :D Cytat:
Cytat:
|
andy,
w tym temacie niedouczony jestem, mam pytanie: czy model, że tylko logowanie jest po SSL (jak np. Allegro) ma jakieś teoretyczne dziury (zakładając chęć ochrony login/pass)? Jeśli tak, to jakie? Ciąganie całego forum po SSL to chyba byłby niezły koszt zasobów - chociaż nie wiem, nie znam się, policzyć nie potrafię, powtarzam zasłyszane opinie. Wszystkich zasobów forum i tak chyba nie da się po SSL, bo mamy. np. hotlinki img src do obrazków z innych serwerów. M@X, też zauważyłem paranoid mode u Berionu :D Ciekawe... |
| Wszystkie czasy w strefie CET. Aktualna godzina: 14:17. |
Powered by vBulletin® Version 3.9.0 LTS
Copyright ©2000 - 2026, vBulletin Solutions Inc.