Разное

В этом форуме можно восстановить пароль?
А то вот я лично могу здесь писать исключительно потому что добрая Опера некоторые пароли мои хранит ;)

Кликнуть в доброй опере на ссылку "Вход" .
Посмотреть исх.код HTML страницы.
Списать оттуда пароль.

:o
Гениально..и как я сам не догадался.
Спасибо.

Пока добрая Опера помнит пароль, удостоверьтесь, что в профиле указан почтовый ящик, к которому вы имеете доступ. Можете написать мне - я вам вышлю новый пароль. Кроме того, при ответе на это сообщение вам выводится форма с вашим именем и полем Пароль, которое заполнено. Если вы посмотрите исходный код страницы - вы увидите пароль в атрибуте value.

Да, да, да, спасибо)

А вообще неплохо было бы высылать личную нформацию на тот самый почтовый ящик при регистрации :)

Загвоздка в том, что пароль шифрован необратимо, т.е. выслать можно только новый пароль. Если забудите - пишите мне, я назначу новый пароль и отошлю вам его на почтовый адрес, который указан в профиле.

Все же не понимаю, в чем загвоздка?
Можно же просто перед занесением в БД отправить зарегистрировавшемуся пользователю письмо с логином и паролем?
Или загвоздка в том, что оставлять e-mail необязательно и некоторые не станут этого делать?

А, сразу после регистрации? Да, пожалуй, стоит добавить.

>Загвоздка в том, что пароль шифрован необратимо
Подобная забота о безопасности похвальна! Однако она совершенно не мешает хранить в куках пароль в явном виде.

Можете предложить быстрый способ расшифровать необратимо зашифрованные пароли? Сообщение-то к чему?

К тому что вся эта защита до первой xss атаки на форум.

Защита чего и от кого? Где тут вообще речь о какой-либо защите? Номер вашего ника 546, вам ли не знать, что форуму почти 8 лет и такие древние базы очень сложно поддаются перекодировке и перпланированию. Будь это возможно, все бы пароли сейчас хранились незашифрованными и владельцы бы имели возможность в любой момент получить свой пароль на почту.

Я хоть слово сказал про базы? Я лишь скромно поинтересовался КОГДА ВЫ, НАКОНЕЦ, ХЭШИРУЕТЕ ПАРОЛИ В КУКАХ?!!!

Чрезвычайно скромно оформленный запрос :))) Пока поля Ваше имя и Пароль используются изменить вряд ли что удастся. В любом случае этих изменений в ближайший месяц-два ожидать не стоит.

Да я и не ожидаю - хожу на форум с отключенным яваскриптом. Просто хорошо бы еще помнить о том, что даже если в самом форуме xss уязвимостей нет, то это совсем не значит что их нет на остальным сайте, а тут в куках такое счастье лежит.

Саш, это целиком и полностью твое личное дело, конечно же.
Но попахивает легким мазо.
Учитывая, что учетка софттайма сама по себе доступа к златым горам и к консоли управления миром втайне от санитаров не дает, я бы просто сделал для нее отдельный пароль, чем JS вырубать..

То есть что значит бы? Cделал сразу, как увидел такое положение вещей.

Естественно тут у меня отдельный пароль, который больше ни к чему не подходит. И понятно что аккаунт на этом форуме - не самая ценная часть моего имущества. Просто потенциальный взлом несет много сопутствующих неприятных последствий:
1. надо вернуть аккаунт
2. надо придумать и запомнить новый пароль
3. надо узнать как произошла атака
3а. если через уязвимость форума, то надо узнать об этом
3б. если через уязвимость браузера - и это надо выяснить
3в. а может на моей машине какая бяка завелась - надо проверить... и желательно несколькими способами
4. да и вообще настроение будет испорчено.
Это как если из кармана вытащат кошелек в метро - и кошелек старый разваливающийся, и денег в нем 100 рублей, а настроение испорчено безнадежно. Да и пункт 3 со всеми его подпунктами добавит кучу бестолковой работы и потраченного времени.

>Это как если из кармана вытащат кошелек в метро
Не подвергая сомнению справедливость всех остальных фраз (в этом и нижеследующем посте), я бы все же "в метро" заменил на "в лесу", как более точно характерезующее ситуацию и вероятность события.

Ваша уверенность заряжает позитивом:)

кто бы спорил.
Но отсюда я делаю единственный вывод.
Если брать дистрибутив для неких собственных целей - систему аутентификации придется переделать.
А если...

Иными словами - что ж тепеть, и в метро не спускаться?

>Иными словами - что ж тепеть, и в метро не спускаться?
Держать карманы застегнутыми.

>Но отсюда я делаю единственный вывод.
Из всего что я сказал, похоже, самыми яркими образами оказались кошелек и метро:)

Вот заходишь ты с утра на форум и выясняешь что твоим паролем беззастенчиво кто-то пользуется. Это могло произойти по вине форума или по твоей вине. Во втором случае надо понять какие еще пароли скомпрометированы, каким образом и от чего. Не лучше ли снизить вероятность подобного утра исключив из задачки форум, как возможную дыру?

Так фокус в том, что если оставлять возможность не вводить пароль каждое утро по-новой (сессии и пароль вообще не хранить ни в каком виде в cookie), то это событие откладывается до того момента, когда пароль будет подобран по хэшу, так как если XSS-инъекция возможна, то вместо пароля утекает хэш. Если злоумышленику очень сильно нужно из под вашего ника что-то ответить - он его подберет. Это событие просто отодвигается по времени.

PS А хэш будет подобран - тут он исторически очень слабый, в новых инсталляциях используется хороший хэш, а тут его задействовать уже не представляется возможным без массовой замены паролей.

Аутентифицирующим токеном вовсе не обязан быть хеш пароля. В чем-то (в том что Вы описали только что) это даже вредно.
В конце концов, сгененерировать случайный ключ в качестве такого токена для COOKIE и записать его в БД - не такая проблема.
Просто это потребует внесения существенных изменений в скрипты.


предугадываю возражение. Атакующий сможет писать в форум. Стоит ли городить огород?
Сможет. Но не сможет менять пароль (возможно писать ЛС , etc..),
и доступ к эккаунту потерян не будет.

>предваряю возражение. Атакующий сможет писать в форум.
>Сможет. Но не сможет менять пароль, и доступ к эккаунту потерян не будет.
А вот спамерам это уже будет интересно, так как новым посетителям использовать URL запрещено, а старым - нет. В конце концов в результате XSS-инъекции ни один пароль не утек за 8 лет, по крайней мере мне о таких случаях не известно. Так какова вероятность этого события?

PS Замечания по поводу использования форума на других ресурсах, конечно, справедливо.

> так как новым посетителям использовать URL запрещено, а старым - нет
Новым пользователям запрещено использовать тег [ url ]?

> В конце концов в результате XSS-инъекции ни один пароль не утек за 8 лет,
> по крайней мере мне о таких случаях не известно.
А как же достопамятный момент с утечкой пароля Дизайнера? Помню, в связи с этим, МВ писал про то, что матерные пароли проще запоминаются :)

>> так как новым посетителям использовать URL запрещено, а старым - нет
>Новым пользователям запрещено использовать тег [ url ]?
Вообще любые URL, даже без [ url ]

>> В конце концов в результате XSS-инъекции ни один пароль не утек за 8 лет,
>> по крайней мере мне о таких случаях не известно.
>А как же достопамятный момент с утечкой пароля Дизайнера? Помню, в связи с этим, МВ писал
>про то, что матерные пароли проще запоминаются :)
Там была SQL-инъекция.

> Там была SQL-инъекция.
Так была же. И кто даст гарантию, что XSS не свершится в один прекрасный момент так же, как эта самая инъекция?

>> Там была SQL-инъекция.
>Так была же. И кто даст гарантию, что XSS не свершится в один прекрасный момент?
Никто, особенно если речь идет об XSS-инъекции (SQL-инъекции вылизаны, с высокой степенью вероятности можно утверждать, что их нет).
SQL-инъекции и XSS-инъекции достаточно здорово отличаются по частоте возникновения, последствиям и методам защиты. Об этом и разговор, если реакция на SQL-инъекцию моментальная, XSS-инъекция может подождать, то потенциальная опасность XSS-инъекции - это предмет обсуждения в этой теме. Потому что альтернатива - вводить каждый раз пароль по-новой, что вероятно не всем форумчанам придется по душе.

SQL-инъекция забирает содержимое базы данных (любое, в том числе и админстративные пароли), XSS-инъекция содержимое куки, пользователя, который перешел по XSS-ссылке. Отсюда и уровень опасности.

PS Т.е. возникни SQL-инъекция, я бы лясы тут не точил, а работал бы до тех пор, пока не убедился, что ситуация исправлена.
PPS Возникни XSS-инъекция, я бы лясы точил бы, попутно выясняя нанесен ли кому-либо ущерб и какой, но тоже бы работал.
PPPS В текущей ситуации (когда существует лишь потенциальная опасность) я предпочитаю обсудить проблему и поразмышлять как лучше поступить в будущих дистрибутивах. В любом случае мне кажется более полезно вернуться к проблеме голосования в темах, чем кардинально изменять систему авторизации (по крайней мере в ближайшее время).

Опасности, порой, поджидают нас с самой неожиданной стороны. Сегодня XSS на этом форуме не опасен, а завтра браузеры внедрят новую феньку, которая, сама не подозревая этого, позволит сухо и комфортно стырить кукисы пользователей.

Я сейчас рассуждаю не о том, что данные из куки на этом форуме могут натворить чего-то особо. Хотя приятного мало, если прийдётся отмывать своё доброе имя, когда кто-то стырил твои куки и насрал на форуме от твоего имени добрую кучу сами знаете чего.

> Потому что альтернатива - вводить каждый раз пароль по-новой,
> что вероятно не всем форумчанам придется по душе.
Это уже не проблема. Браузеры имеют встроенные возможности для этого. А ещё есть менеджеры паролей.

Так вот, чтобы этого избежать не нужно вообще хранить пароли в куках ни в открытом, ни в зашифрованном виде. Как следствие, каждое утро придется вводить пароль на форуме по-новой. Форум не будет помнить вас после закрытия окна браузера. Если это бы подходило подавляющему большинству посетителей - такова реализация и была бы. Предлагается хранить хэш пароля, но он эту проблему не решит.

А зачем вообще хранить пароль в кукисах, в каком-бы то ни было виде?
Trianon уже рассказал про аутентификационные токены. Они совершенно случайны и временны.

> Предлагается хранить хэш пароля, но он эту проблему не решит.
Хеш от пароля всяко надёжнее, чем сам пароль в голом виде.

>А зачем вообще хранить пароль в кукисах, в каком-бы то ни было виде?
>Trianon уже рассказал про аутентификационные токены. Они совершенно случайны и временны.
Исторически сложилось так, прежде чем, использовать хэш, токены, придется вводить другую систему аутентификации, попутно изменяя дизайн форм редактирования, добавления темы, добавления сообщения, потом переводить все на хэш или токен. В любом случае это требует времени и размышлений, так как форум живой и не хотелось бы, чтобы вмешательства отражались на его работе.

>> Предлагается хранить хэш пароля, но он эту проблему не решит.
>Хеш от пароля всяко надёжнее, чем сам пароль в голом виде.
Только не тот который используется тут.

Мне кажется вы преувеличиваете. Я прокрутил в памяти все проекты со слабой системой аутентификации/авторизации, над которыми когда-либо работал и ни в одном из них не увидел серьёзных проблем для введения новой системы. Но может быть на форуме ситуация другая и ориентироваться на общедоступные исходники нет смысла, так как они не соответствуют действительности? :)

Новой системы хэшей или системы авторизации?

PS Переделка системы авторизации сложности не представляет и со временем она будет переделана, вопрос вызывает лишь первоочередность такой задачи.

> В любом случае мне кажется более полезно вернуться к проблеме голосования в темах, ...

Я могу чем-то поспособствовать?
Мои (весьма скромные) наработки в виде кода все еще лежат в архиве, прикрепленном к этому посту .
Если требуются какие-то комментрарии (или еще какое содействие) - чем смогу.

Пока вроде вопросов нет.

>В конце концов в результате XSS-инъекции ни один пароль не утек за 8 лет
Не утек, потому что такой задачи не стояло. Помнится и я и Акира раза три или четыре ломали форум через XSS... Причем, каждый раз представляя рабочий эксплоит. Помню так же Ваши собственные куки в тексте поста. Так что Вы просто запамятовали...

>Не утек, потому что такой задачи не стояло.
Она и сейчас не стоит.

>Помню так же Ваши собственные куки в тексте поста.
Все эти случаи обрабатывались и исправлялись. XSS-инъекцию ни один здравомыслящий человек на форуме не оставит. Речь не о XSS-инъекции, а о том отказываться от хранения пароля/хэша в cookie или нет, здесь хэш не спасет от получения пароля, лишь затормозит.

>здесь хэш не спасет от получения пароля, лишь затормозит.
Если он затормозит получение пароля на несколько лет - этого будет вполне достаточно.

Боюсь, речь о часах.

>Не лучше ли снизить вероятность подобного утра исключив из задачки форум, как возможную дыру?

Если тебе удастся продавить форум, я первым поапплодирую.

Это как бы понятно, просто пароли от этого форума никому задаром не сдались (попробуйте, кстати, такую ссылку разместить на модерируемом ресурсе: проще сказать чем сделать). Ну даже, разместить удалось, сколько посетителей успеют по ней пройти (и захотят ли они вообще это делать), до того, как модератор её удалит? Те три пароля которые он получит, могут быть и хэшем - три хэша ломать не долго - и смысл тогда их шифровать? И какова, вероятность того, что полученный пароль подойдет к какому-то другому ресурсу? Где профит ради которого можно хотя бы начинать задумываться об осуществлении идеи?

PS Угрозы оцениваются последствиями, а не просто их наличием. В данном случае угроза хоть и присутствует, но мягко говоря она не очень высокая, например, я бы поленился отключать JavaScript ради неё. Ваш пароль будет восстановлен моментально, как только вы запросите его - ваш e-mail мне известен. Даже если вы используете этот пароль где-то еще (а это навряд ли с таким уровнем безопасности, который вы демонстрируете), злоумышленику нужно еще будет узнать, куда его применить.

>Это как бы понятно, просто пароли от этого форума никому задаром не сдались
От этого - не сдались но, если меня не подводит память, движок этого форума свободно лежит для загрузки, а значит этот "сюрприз" еще ждет своего "счастливца" на каком-то другом ресурсе.