CSRF универсальный способ защиты

Web

Оказывается в интернете существует много потенциальных способов навредить, или частично манипулировать пользователем без его ведома. Другими словами — причинить вред. Одним из таких старинных способов причинить вред — стала уязвимость под названием Сross Site Request Forgery — межсайтовая подделка запросов.

В двух словах — уязвимость позволяет заставить пользователя выполнить какой-либо запрос на произвольном ресурсе, если пользователь там авторизован. С одной стороны — это и не уязвимость вовсе, т. к. позволяет проделать действия, на которые у пользователя и так есть права, с другой стороны — это манипуляция от имени чужого пользователя.

Уязвимость настолько серьезная, что во фреймворке Symfony 2 при установке — ей выделили отдельную страницу конфигурации

Отдельная страница для настройки CSRF защиты при установке Symfony
Хотите знать секрет правильной настройки? копаем вместе

Читать дальше →

  • Автор: kosmom
  • Просмотров: 437
  • Комментариев: 0
  • Создан: 19.06.2014 11:59

Безопасность сайта

Web

Общая структура угроз и защиты сайта

Прежде всего сайт - это набор файлов. А хостинг на котором он живет - это компьютеры. По этому большая часть правил безопасности исходит именно из этих позиций

Читать дальше →

  • Автор: kosmom
  • Просмотров: 701
  • Комментариев: 0
  • Создан: 15.05.2012 13:22

Ввод паролей через последовательность зажатия клавиш

Web

Пример ввода последовательности по времениСуть проблемы ввода паролей

Большинство пользователей вводят короткие легко взлаемые роботами пароли. Данная реализация позволяет избежать этих недостатков, прибегнув к помощи скриптов

Ранее давным двано и не раз обсуждалась идея идентификации личности через ввод паролей по времени.
Представляю Вам еще одну разновидность ввода паролей и практическую реализацию
Суть идеи следующая: В пароле хранятся не сами символы, а последовательность нажатия и отпускания клавиш на клавиатуре.

Поясню на примере: Известно, что пароль состоит из символов "f" и "g". Звучит он примерно "fgg"
Но, чтобы набрать его верно - символ "f" отжимается после зажатия 2-го символа "g". Со стороны при быстром наборе - не каждый сможет обратить на это внимание. А система при нескольких попытках сможет насторожиться и принять адекватные меры. В 3-х символах заложено более 5 комбинаций, не поддаваемых перебору, тем более что простые пара символов скрыто длинным хешем. Если брать разные символы - то число комбинаций много больше. Таким образом все короткие пароли превращаются в длинную цепочку, затрудняемую для перебора
На рисунке - по вертикали расположена ось времени, а линии означают нажатый статус клавиши.

Ниже будет представлена реализация метода и пример

Читать дальше →

  • Автор: kosmom
  • Просмотров: 463
  • Комментариев: 0
  • Создан: 19.10.2010 15:35