The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как передаётся пароль при авторизации в squid?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 24-Ноя-06, 11:06 
Из браузера в squid при авторизации пароль передаётся не в открытом же виде?
Простой вопрос, но по докам вроде http://www.opennet.ru/base/net/squid_auth.txt.html
никак не могу найти ответ.
Если у браузера запрашивается пароль по Basic Authentication, то он в открытом виде бедет
передаваться, что глупо даже для среднего размера организации.
Как будет передаваться пароль при авторизации в squid: в открытом виде или как-нибудь по
SSL или как ещё?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Как передаётся пароль при авторизации в squid?"  
Сообщение от Sloboda (??) on 24-Ноя-06, 12:15 
http://squid.org.ua/FAQ/my/FAQ-23.html#ss23

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 24-Ноя-06, 12:37 
>http://squid.org.ua/FAQ/my/FAQ-23.html#ss23
Большое спасибо.

Я искал вот этот абзац:
---------------------------------------------
ЗАМЕЧАНИЕ: Имя и пароль кодируются с использованием ``base64'' (см. раздел 11.1 RFC 2616).
Однако base64 это только кодирование binary-to-text, при кодировании информация НЕ
шифруется. Это означает, что имя пользователя и пароль фактически передаются ``открытым
текстом'' между броузером и прокси. Поэтому вы не должны использовать тот же пароль и имя
пользователя, который вы используете для вашего аккаунта
---------------------------------------------

Мой вывод:
Для авторизации доступа использовать squid НЕЛЬЗЯ. И про возможность авторизации доступа
через squid нужно ЗАБЫТЬ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как передаётся пароль при авторизации в squid?"  
Сообщение от Sloboda (??) on 24-Ноя-06, 13:57 
>Мой вывод:
>Для авторизации доступа использовать squid НЕЛЬЗЯ. И про возможность авторизации доступа
>через squid нужно ЗАБЫТЬ.

Какой вы катерогичный!
Или у вас хабы стоят вместо свичей?
Бог с ними, с паролями, можно http-трафик слушать.

Впрочем, для каждых конкретных условий нужно выбирать баланс безопастности/удобства/производительности.

Можно шифрованный тунель от клиента до прокси сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 25-Ноя-06, 16:09 
>>Мой вывод:
>>Для авторизации доступа использовать squid НЕЛЬЗЯ. И про возможность авторизации доступа
>>через squid нужно ЗАБЫТЬ.
>
>Какой вы катерогичный!
>Или у вас хабы стоят вместо свичей?
Вы, похоже, не знаете, что свичи не спасают от прослушки трафика.
Пошелестите пакетом dsniff -- поверьте, из-за свича слушать не проблема.

>Бог с ними, с паролями, можно http-трафик слушать.
Если пароль можно перехватить, запустив единственную программу, легко доступную в Сети,
то зачем вообще авторизация по именам и паролям?
Ну, из за свича, конечно, не одна а две программы -- но велика ли разница?

>Впрочем, для каждых конкретных условий нужно выбирать баланс безопастности/удобства/производительности.
Правило простое, как мне видится:
если компьютеры локальной сети стоят не в одной комноте, в которой постоянно сидит админ,
то передавать пароли в открытом виде по сети нельзя.

>Можно шифрованный тунель от клиента до прокси сделать.
Задача в том, чтобы не делать шифрованного туннеля.
Требуется только, чтобы трафик нельзя было воровать, слушать -- сколько угодно.
Думаю периодически запрашивать количество открытых TCP соединений от клиента к серверу да
сравнивать их с тем же числом от сервера к клиенту -- если не совпали, начинаем охоту на
халявщиков (не есть большая проблема отловить, проблема не мониторить это постоянно).
Всё, чего не хватает -- приличной авторизации клиентов. Похоже, что нужно писать свою.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Как передаётся пароль при авторизации в squid?"  
Сообщение от Sloboda (??) on 27-Ноя-06, 17:30 
>Вы, похоже, не знаете, что свичи не спасают от прослушки трафика.
>Пошелестите пакетом dsniff -- поверьте, из-за свича слушать не проблема.

Честно, да, глубоко этой темой не владею.
Но, всё-равно, мне кажется нужно бороться с первопричиной.
Если слушают из-за свича, значит или нужен серьезный свич, с связкой arp-ip и защитой от arp-спуфинга, или шифрованный канал в заведомо прослушиваемой среде.

>Думаю периодически запрашивать количество открытых TCP соединений от клиента к серверу да
>сравнивать их с тем же числом от сервера к клиенту -- если

Обратите внимание на max_user_ip http://www.visolve.com/squid/squid30/accesscontrols.php#max_user_ip,
возможно пригодиться.

NTLM и LDAP тоже не подходят?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 27-Ноя-06, 18:22 
>Но, всё-равно, мне кажется нужно бороться с первопричиной.
>Если слушают из-за свича, значит или нужен серьезный свич, с связкой arp-ip
>и защитой от arp-спуфинга, или шифрованный канал в заведомо прослушиваемой среде.
В данный момент именно шифрованный канал и есть.
И имея его на протяжении двух месяцев, уже все поголовно пользователи, как Windows так и Linux очень хотят, чтобы его снова нестало.
Поменять же свичи по этому поводу не реально.

>Обратите внимание на max_user_ip http://www.visolve.com/squid/squid30/accesscontrols.php#max_user_ip,
>возможно пригодиться.
Про контроль по IP адресам я довольно плотно начитался уже.
Пакость в том, что нехорошие товарищи, имеющие права администратора на рабстанции могут с лёгкостью менять и IP и MAC адреса.
Понятно, что в здравой организации пользователи персоналок не должны иметь прав
рута на них, и тогда все проблемы уйдут, но в реальной жизни всё не так, как хотелось бы.

>NTLM и LDAP тоже не подходят?
Потребует не малых усилий по развёртыванию, особенно, если учесть, что полным полно машин даже не с Windows 98, а с Windows 95 (есть и с MS DOS, но они не всчёт).
По части же Linux LDAP очень заманчиво выглядит.
Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 27-Ноя-06, 18:48 
>Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание.
Да... но...
Пароль-то опять в открытом виде передаваться бедет?
Тут ж фундаментальная проблема не в Squid, а в браузерах -- это они не умеют ничего, кроме
глупого Basic Authentication.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Как передаётся пароль при авторизации в squid?"  
Сообщение от Sloboda (??) on 27-Ноя-06, 19:01 
>>Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание.
>Да... но...
>Пароль-то опять в открытом виде передаваться бедет?
>Тут ж фундаментальная проблема не в Squid, а в браузерах -- это
>они не умеют ничего, кроме
>глупого Basic Authentication.

Разве? А Digest? А NTLM?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 28-Ноя-06, 18:13 
>>>Честно говоря, LDAP я как-то упустил из виду; спасибо за напоминание.
>>Да... но...
>>Пароль-то опять в открытом виде передаваться бедет?
>>Тут ж фундаментальная проблема не в Squid, а в браузерах -- это
>>они не умеют ничего, кроме
>>глупого Basic Authentication.
>
>Разве? А Digest? А NTLM?
Ха!
И в том и другом случае по сети передаётся в открытом виде хеш пароля.
Это защита только от полных идиотов, которым нужно знать текст пароля, чтобы послать его на
сервер.
Единственный способ уберечься -- это шифрованный SSL туннель между браузером и Squid.
Тогда можно и текстом передавать -- не выловешь.
Интересно; браузеры поголовно поддерживают SSL, Squid -- аналогично; в чём проблема принять
стандарт авторизации по SSL туннелю вместо явно устаревшего Basic Authentication? никак не
пойму.
Мне бы даже просто ident подошёл для Linux, если бы он тоже в открытом виде не передавал...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как передаётся пароль при авторизации в squid?"  
Сообщение от idle email(ok) on 24-Ноя-06, 16:52 
>Как будет передаваться пароль при авторизации в squid: в открытом виде или
>как-нибудь по
>SSL или как ещё?
Это зависит от способа авторизации, которых могут быть мириады. В некоторых вариантах он даже не передаётся(прозрачная аутентификация).


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 25-Ноя-06, 16:20 
>>Как будет передаваться пароль при авторизации в squid: в открытом виде или
>>как-нибудь по
>>SSL или как ещё?
>Это зависит от способа авторизации, которых могут быть мириады. В некоторых вариантах
>он даже не передаётся(прозрачная аутентификация).
Увы.
Способ авторизации один -- Basic Authentication. Даже Digest Authentication слишком плохо
поддерживается браузерами (причём, она, в сущности, ничем не лучше).
Проверка пароля на сервере -- вот это можно сделать миллионом способов; пароль как на сервер
передать? -- вот проблема.
Если можете привести пример, как передать пароль, набранный в браузере Firefox, не в
открытом виде -- буду очень признателен.
Организовать свой альтернативный способ авторизации, -- понятно, не проблема, кроме того,
что клиент должен будет устанавливать дополнительное ПО, а мы то ПО писать и сопровождать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как передаётся пароль при авторизации в squid?"  
Сообщение от idle (ok) on 25-Ноя-06, 17:26 
>Увы.
>Способ авторизации один -- Basic Authentication. Даже Digest Authentication слишком плохо
С чего Вы это взяли? В сквиде три встроенных способа аутентификации(всё-таки мы говорим об аутентификации, а не авторизации, это разные вещи) - basic, digest и ntlm. Плюс поддержка внешних хэлперов, которая позволяет легко настроить всё что заблагорассудится.
>Организовать свой альтернативный способ авторизации, -- понятно, не проблема, кроме того,
>что клиент должен будет устанавливать дополнительное ПО, а мы то ПО писать
>и сопровождать.
Не надо ничего писать, надо внимательно прочесть документацию.
http://www.visolve.com/squid/squid30/externalsupport.php#external_acl_type

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Как передаётся пароль при авторизации в squid?"  
Сообщение от SergeiZz on 27-Ноя-06, 15:59 
>В сквиде три встроенных способа аутентификации(всё-таки мы
>говорим об аутентификации, а не авторизации, это разные вещи) - basic,
>digest и ntlm. Плюс поддержка внешних хэлперов, которая позволяет легко настроить
>всё что заблагорассудится.
basic, digest и htlm не подходят.
Назовите ключевое слово, которое я должен набрать в google, чтобы найти "внешний хелпер",
распространяемый по GPL, который позволил бы пользователям и Windows и Linux вводить пароль
так, чтобы он не передавался по сети в открытом виде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру