Пишите пароль без звездочек

Web

Есть один интересный способ скрыть пароли визуально. Вам когда-нибудь приходилось вводить пароль когда за спиной у вас стоит кто-то, либо вы опасаетесь скрытой записи экрана (но не кейлоггеров от них не поможет) и форма для ввода пароля по какой-то причине открыта визуально. То ли баг то ли фича. Некоторые скрипты содержат пароли в открытом виде и их невозможно открыть по другому.
Дело в том что некоторые символы в шрифтах очень похожи друг на друга, например большая I и маленькая l, а также ряд других палочек | и мелких черточек ,.`":.;!i который при виде издали будут сливаться в один большой баркод. Сюда же подойдут скобки фигурные квадратные и обычные ({[]}) и всё что имеет вертикальную структуру 1Jj/\
Дополнительно если хотите пойти еще дальше и чувствуете себя ниндзей - можете использовать эмодзи и спецсимволы. Главное чтобы их можно было воспроизвести в как можно большем числе систем. Учитывайте винду, мак и андройд. На клавиатурах спецсимволы вводятся через зажатый альт и код на numbar - после отжать альт

Читать дальше →

  • Автор: kosmom
  • Просмотров: 39
  • Комментариев: 0
  • Создан: 15.12.2020 19:00

Пробел в начале или конце пароля

Web

Хотите насолить человеку, предоставляя для него пароль от чего-либо - сгенерируйте пароль с пробелом в начале или в конце. Одновременно с этим также повышается безопасность, т.к. кому придёт в голову что в пароле есть пробел в конце).

Такую фразу тяжело копировать, потому что непонятно пробел в конце - это часть верстки или часть пароля, а также иногда программы для приема пароля намеренно или случайно режут пробелы даже если обернуть фразу в кавычки

Читать дальше →

  • Автор: kosmom
  • Просмотров: 237
  • Комментариев: 0
  • Создан: 16.06.2020 14:38

CSRF универсальный способ защиты

Web

Оказывается в интернете существует много потенциальных способов навредить, или частично манипулировать пользователем без его ведома. Другими словами — причинить вред. Одним из таких старинных способов причинить вред — стала уязвимость под названием Сross Site Request Forgery — межсайтовая подделка запросов.

В двух словах — уязвимость позволяет заставить пользователя выполнить какой-либо запрос на произвольном ресурсе, если пользователь там авторизован. С одной стороны — это и не уязвимость вовсе, т. к. позволяет проделать действия, на которые у пользователя и так есть права, с другой стороны — это манипуляция от имени чужого пользователя.

Уязвимость настолько серьезная, что во фреймворке Symfony 2 при установке — ей выделили отдельную страницу конфигурации

Отдельная страница для настройки CSRF защиты при установке Symfony
Хотите знать секрет правильной настройки? копаем вместе

Читать дальше →

  • Автор: kosmom
  • Просмотров: 783
  • Комментариев: 0
  • Создан: 19.06.2014 11:59

Безопасность сайта

Web

Общая структура угроз и защиты сайта

Прежде всего сайт - это набор файлов. А хостинг на котором он живет - это компьютеры. По этому большая часть правил безопасности исходит именно из этих позиций

Читать дальше →

  • Автор: kosmom
  • Просмотров: 961
  • Комментариев: 0
  • Создан: 15.05.2012 13:22

Ввод паролей через последовательность зажатия клавиш

Web

Пример ввода последовательности по времениСуть проблемы ввода паролей

Большинство пользователей вводят короткие легко взлаемые роботами пароли. Данная реализация позволяет избежать этих недостатков, прибегнув к помощи скриптов

Ранее давным двано и не раз обсуждалась идея идентификации личности через ввод паролей по времени.
Представляю Вам еще одну разновидность ввода паролей и практическую реализацию
Суть идеи следующая: В пароле хранятся не сами символы, а последовательность нажатия и отпускания клавиш на клавиатуре.

Поясню на примере: Известно, что пароль состоит из символов "f" и "g". Звучит он примерно "fgg"
Но, чтобы набрать его верно - символ "f" отжимается после зажатия 2-го символа "g". Со стороны при быстром наборе - не каждый сможет обратить на это внимание. А система при нескольких попытках сможет насторожиться и принять адекватные меры. В 3-х символах заложено более 5 комбинаций, не поддаваемых перебору, тем более что простые пара символов скрыто длинным хешем. Если брать разные символы - то число комбинаций много больше. Таким образом все короткие пароли превращаются в длинную цепочку, затрудняемую для перебора
На рисунке - по вертикали расположена ось времени, а линии означают нажатый статус клавиши.

Ниже будет представлена реализация метода и пример

Читать дальше →

  • Автор: kosmom
  • Просмотров: 799
  • Комментариев: 0
  • Создан: 19.10.2010 15:35