Защита участников WOT

exstreme
Posts: 742
Joined: Sun Jan 19, 2014 5:02 pm

Защита участников WOT

Post by exstreme » Mon Nov 24, 2014 6:22 pm

После одного случая решил проверить, насколько пользователи защищены от взлома. А то на словах красиво, у нас стоит SSL- шифрование.
В итоге.
Поля логина и пароля плохо устойчивы к брутофорсу. За одну минуту около 250 вариаций паролей, и не единой блокировки не последовало.
Поле логина и e-maila. Захотел сменил на новые. Я думаю в целях повышения защиты не мешало бы запретить смену той же почты без подтверждения с указанной до этого почты. Как- то так.
Я думаю над этими вопросами стоит подумать.

Guest

RE: Защита участников WOT

Post by Guest » Mon Nov 24, 2014 7:16 pm

+1. Полностью поддерживаю.

Guest

RE: Защита участников WOT

Post by Guest » Mon Nov 24, 2014 7:41 pm

Главное чтобы хеши паролей были надёжно защищены, а против даже 15 символьного правильного пароля брут бессилен.
[url=http://pixs.ru/showimage/crptJPG_6931130_14871843.jpg t=_self][img]http://i9.pixs.ru/storage/8/4/3/crptJPG_6931130_14871843.jpg[/img][/url]

expert-201
Posts: 76
Joined: Sat Nov 22, 2014 10:39 pm

RE: Защита участников WOT

Post by expert-201 » Thu Nov 27, 2014 6:05 pm

Забавно, а я дурак думал что полностью защищён от любых неприятностей...(шутка конечно!).
Бывает, начитаешься разных статей в интернете про безопасность и угрозу взлома всего и вся и уже давно ни в чём не уверен. Кажется вот уже больше десяти лет назад писали про мальчика, который взломал систему безопасности одной серьёзной, скажем так организации, и которая была абсолютно уверена в своей защите.
В общем как говорят, еще на заре интернета, один авторитетный человек сказал, что я свою важную информацию скорее доверю бумаге, чем компьютеру. и тем более интернету.

4897220
Posts: 410
Joined: Thu Sep 04, 2014 11:16 am

RE: Защита участников WOT

Post by 4897220 » Thu Nov 27, 2014 11:36 pm

<quote user="expert-201">
Забавно, а я дурак думал что полностью защищён от любых неприятностей...(шутка конечно!).
Бывает, начитаешься разных статей в интернете про безопасность и угрозу взлома всего и вся и уже давно ни в чём не уверен. Кажется вот уже больше десяти лет назад писали про мальчика, который взломал систему безопасности одной серьёзной, скажем так организации, и которая была абсолютно уверена в своей защите.
В общем как говорят, еще на заре интернета, один авторитетный человек сказал, что я свою важную информацию скорее доверю бумаге, чем компьютеру. и тем более интернету.
[/quote]
Лично я недавно проверяла свой ПК на вирусы. Нашло несколько причем каждый антивир находит разные и не просто какую то чушь а серьезные вирусы. Как правило если взламывают то это через вирусы.

expert-201
Posts: 76
Joined: Sat Nov 22, 2014 10:39 pm

RE: Защита участников WOT

Post by expert-201 » Sun Nov 30, 2014 1:32 pm

Собственно вирусы для этого и созданы, это если проводить аналогию как отмычка у вора, который открывает дверь вашего дома и не спрашивает разрешения владельца. А вот с какой целью он это делает это уже другой вопрос. Кстати в тему вспомнил кадры из одного фильма, где из видеокамеры неработающего ноутбука вели наблюдение за "объектом".

exstreme
Posts: 742
Joined: Sun Jan 19, 2014 5:02 pm

RE: Защита участников WOT

Post by exstreme » Thu Dec 11, 2014 12:33 pm

<quote user="sane cat">
Главное чтобы хеши паролей были надёжно защищены, а против даже 15 символьного правильного пароля брут бессилен.
[/quote]

Существует много других способов увести аккаунт.
К примеру, на данном сайте осуществима CSRF-атака. Не буду раскрывать всех подробностей, чтобы не воспользовались во вред. Ищу желающих проверить или опровергнуть мою теорию. От испытуемых понадобится ссылка на аккаунт, а потом пройти по указанной мною ссылке.

Guest

RE: Защита участников WOT

Post by Guest » Thu Dec 11, 2014 6:34 pm

<quote user="exstreme">
Существует много других способов увести аккаунт.
К примеру, на данном сайте осуществима CSRF-атака. Не буду раскрывать всех подробностей, чтобы не воспользовались во вред. Ищу желающих проверить или опровергнуть мою теорию. От испытуемых понадобится ссылка на аккаунт, а потом пройти по указанной мною ссылке.
[/quote]

А разве CSRF осуществима при HTTPS соединении?

exstreme
Posts: 742
Joined: Sun Jan 19, 2014 5:02 pm

RE: Защита участников WOT

Post by exstreme » Thu Dec 11, 2014 7:24 pm

Конечно.

donsorg
Posts: 4026
Joined: Wed Nov 30, 2011 8:42 am

RE: Защита участников WOT

Post by donsorg » Sat Dec 13, 2014 12:59 pm

<quote user="exstreme">
Существует много других способов увести аккаунт.
К примеру, на данном сайте осуществима CSRF-атака. Не буду раскрывать всех подробностей, чтобы не воспользовались во вред. Ищу желающих проверить или опровергнуть мою теорию. От испытуемых понадобится ссылка на аккаунт, а потом пройти по указанной мною ссылке.
[/quote]

И мне в личку не скажете?

Post Reply

Who is online

Users browsing this forum: No registered users and 2 guests