1

Тема: Безпека при авторизації

Хай.
От нещодавно був знову почав роздуплятись з нодою і всім таким, і задумався - яким чином шифрується логін з паролем під час авторизації на сайті?
Вирішив глянути на цьому сайті, що відправляється при авторизації, і о, шок! Я побачив свій логін та пароль в їхньому незайманому вигляді, без жодного шифрування.
Тобто, якщо в нас є якась відкрита вай-фай точка, і дані в ній ніяк не шифруються, то хтось же може або на самому роутері, або ще якось, зтибзити всі ці дані, потім їх якось обробити, і дістати логін з паролем?

Я також знаю про протокол https, чи захищає він від подібного?

Подякували: leofun011

2

Re: Безпека при авторизації

Шифрування гарантує помірний захист від підслуховування та від нападу «людина посередині» (man-in-the-middle), за умови це коректних налаштувань та підпису сертифікату авторизованим центром сертифікації.
Звідси

Подякували: leofun01, FakiNyan2

3

Re: Безпека при авторизації

Так, а чому на цьому сайті досі немає https?

4 Востаннє редагувалося leofun01 (08.10.2018 00:44:29)

Re: Безпека при авторизації

FakiNyan написав:

От нещодавно був знову почав роздуплятись з нодою і всім таким, і задумався - яким чином шифрується логін з паролем під час авторизації на сайті?

Залежить від конкретного сайту. В нашому випадку ніяк.

FakiNyan написав:

Вирішив глянути на цьому сайті, що відправляється при авторизації, і о, шок! Я побачив свій логін та пароль в їхньому незайманому вигляді, без жодного шифрування.

А це ви дивились на своєму компі, з якого заходили на сайт ? чи на іншій точці ?
Якщо на своєму компі, то нічого дивного. Навіть якби використовувався SSL і ви б зайшли через https, то побачили б ту саму картину (на своему компі).

FakiNyan написав:

Тобто, якщо в нас є якась відкрита вай-фай точка, і дані в ній ніяк не шифруються, то хтось же може або на самому роутері, або ще якось, зтибзити всі ці дані, потім їх якось обробити, і дістати логін з паролем?

Так, це можливо, для цього треба мати спеціальні програми.
Теоретично це можливо навіть через https. Але з SSL вся складність в тому, що для розшифрування потрібно мати великі потужності (теоретично).

FakiNyan написав:

Я також знаю про протокол https, чи захищає він від подібного?

Трохи захищає. Але за умови, що ви (як розробник сайту) не допустите помилок (можете почитати рекомендації про аутентикацію).
На це питання є правильна відповідь на стеку.
Тобто, в ідеалі, ми мали б заходити сюди так :
https://user:pass@replace.org.ua/
або хоча б так :
http://user:pass@replace.org.ua/

Але чомусь ніхто не робить сайти з розрахунком на такий спосіб входу. Принаймні я не знаю таких людей.


Chemist-i написав:

... та підпису сертифікату авторизованим центром сертифікації.

Авторизовані центри сертифікації беруть гроші тільки за те, що :
1) сертифікат буде згенерований саме ними (хоча генерувати сертефікати може кожен);
2) цей сертифікат буде занесений в різні бази так званих "сетрифікатів, яким можна довіряти", із-за чого браузери не будуть матюкатися (типу "Ваше з'єднання незахищене");
3) у випадку, якщо користувачі поскаржаться на ваш сайт (наприклад якщо це сайт-майнер, або сайт-нападник), вони (центр сертифікації) проводять аудит вашого сайту і приймають рішення стосовно сертифікату (відкликати чи залишити).


FakiNyan написав:

Так, а чому на цьому сайті досі немає https?

Формально на цьому сайті вже є https. Але деякі посилання не переписані, стилі не підвантажуються без додаткових налаштувань.

upd: А те, що в нас немає примусового https - я вважаю це добре.
upd2: О, знайшов деякі деталі про HTTP аутентикацію. Але це про випадок з http://user:pass@replace.org.ua/, а не про те як ми тут заходимо.

Подякували: FakiNyan1

5

Re: Безпека при авторизації

FakiNyan написав:

Так, а чому на цьому сайті досі немає https?

Ви ж самі знаєте чому.