forum.opennet.ru

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."	+3 +/–
Сообщение от freehck (ok), 23-Окт-15, 14:39
> Пароли плейнтекстом на сервере? А кому они нужны, если у него уже доступ к диску сервера есть? Надеюсь, вы не используете этот же пароль для замка от своего чемодана? Надейтесь. Как показывает практика, именно так большинство пользователей и поступает: у них есть 1-2 пароля, которые они используют для всех сервисов, которыми пользуются. Я как-то брал базу с почтовыми адресами и паролями из 10'000 записей, вытянутую с сайта, где программисты решили почему-то хранить их в чистом виде. Где-то 3 года она у меня без дела лежала, а потом я решил всё-таки посмотреть, сколько паролей подходит к ящикам. И знаете что? 331 аккаунт. Вы понимаете? То есть даже в устаревшей на 3 года базе с тестом, составленным на скорую руку, hit составил более 3%. А какой будет hit в актуальных базах -- даже представить страшно.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Обращение к формам ввода пароля по HTTP отмечено в Firefox к..., opennews, 23-Окт-15, 11:10 [смотреть все]

Владельцы фишинговых сайтов в срочном порядке отправляются на letsencrypt org , tensor, 23-Окт-15, 11:10 (1) //
- Они уже у китайцев затарились , pavlinux, 25-Окт-15, 02:58 (107)
Давно пора , Аноним, 23-Окт-15, 11:10 (2) //
- Смысл Как совершенно справедливо отметили, те, для кого мошенничество -- ниче, Michael Shigorin, 23-Окт-15, 14:22 (40) //
  - Ну так иначе эти хозяева гостевушек вообще никогда не почешутся , Crazy Alex, 23-Окт-15, 15:32 (50) //
    - Не почешутся они что так что эдак Увеличится только скорость, с которой полезный, rob pike, 23-Окт-15, 16:31 (55)
      - Если они вообще туда не заходят - полезный контент останется всё там же, где и б, Crazy Alex, 23-Окт-15, 19:07 (72)
    - Им и не надо чесаться, т к они не собирают персональных данных, не требуют остав, Хомячелло, 24-Окт-15, 09:50 (95)
      - Для большинства ресурсов авторизация - способ проверить, что ты не робот и тольк, Хомячелло, 24-Окт-15, 09:52 (96)
        
        Давай, большинство само решит, что из него кому надо, а ты от имени этого больши, Sluggard, 24-Окт-15, 14:39 (97)
  - по крайней мере им будет сильно сложнее , Аноним, 23-Окт-15, 16:39 (57)
  - Это все из серии DNT, CORS и т д Пытаются сделать видимость улучшения защиты, , rshadow, 23-Окт-15, 18:27 (69) //
    - Согласен, решать должен либо пользователь, либо владелец сайта, а диктат условий, cmp, 23-Окт-15, 18:33 (70)
      - Тут все отлично Владелец сайта может ничего не делать, пользователь - пользоват, Alexey, 23-Окт-15, 19:46 (78)
новый этап засовывания всея интернета в https, Аноним, 23-Окт-15, 11:35 (3) //
- Как будто что то плохое , Аноним, 23-Окт-15, 11:49 (5) //
  - хз, я не верю, что это всё только ради нашей безопасности, вся эта движуха не сп, Аноним, 23-Окт-15, 12:29 (16) //
    - вся эта движуха чтобы кормить нас рекламой, ибо в https резка оной намного гемор, xaxaxa, 23-Окт-15, 14:17 (38)
      - Скорее уж наоборот, никакие ушлые провайдеры , типа точек доступа в московском , Аноним, 23-Окт-15, 14:20 (39)
        
        ну, т е гуглу нас кормить рекламой будет можно, а билайну нет, Аноним, 23-Окт-15, 14:24 (43)
        
        А рекламу гугла порежут uBlock uMatrix, совершенно спокойно , Crazy Alex, 23-Окт-15, 15:33 (52)
        
        угу, если их не купят добрые корпорации или если мозилла не решит друг от подобн, Аноним, 25-Окт-15, 13:03 (110)
      - если резать на уровне прокси -- да, геморнее на уровне браузера -- никакой разн, й, 23-Окт-15, 16:49 (60)
  - да в общем, ничего особо хорошего Как, например, удобно cтановится отлаживать , ., 23-Окт-15, 12:33 (17) //
    - Быдло кодерам всегда плохо Они часто даже просто ПО не обновляют , qwerty, 23-Окт-15, 13:14 (24)
    - нколеночный сорм в виде расширения к брузеру спасёт, по идее А так - пока это , Crazy Alex, 23-Окт-15, 13:45 (32)
    - Надейтесь Как показывает практика, именно так большинство пользователей и посту , freehck, 23-Окт-15, 14:39 (46)
      - Мне, обычному пользователю, пришлось нынче регистрироваться в Эльдораде Конечно,, тоже Аноним, 23-Окт-15, 14:56 (48)
        
        В таком случае лучше придумать маску myOwNm sk, и все пароли к малонужным сайта, Аноним, 23-Окт-15, 19:18 (74)
        Главное не забывать, что нынешний век длится лет 5-10 от силы , Aleks Revo, 28-Окт-15, 14:21 (115)
      - Уменя вообще один пароль от 1password и больше знать не знаю , Аноним, 25-Окт-15, 04:58 (108)
    - В chromium есть поддержка для этого https www imperialviolet org 2012 06 25 wi, Аноним, 23-Окт-15, 16:38 (56)
    - Fidler подойдёт для перехвата трафика , Кукаретик, 24-Окт-15, 03:59 (94)
      - ну, в качестве аварийного решения - да, а в качестве удобной ручки для так, что, ., 26-Окт-15, 13:39 (111)
  - Шифрованный трафик плохо жмётся , anonymous, 23-Окт-15, 13:36 (30) //
    - я тебя удивлю, сначала сжимают, потом шифруют , Аноним, 25-Окт-15, 04:59 (109)
  - Плохо, что большинство считает https защищённым каналом , user, 23-Окт-15, 13:52 (35) //
    - Все зависит от допущений HTTP без S , при надлежащем контроле за физической сре, Аноним, 23-Окт-15, 14:23 (42)
    - Все познается в сравнении По сравнению с http, это защищенный канал , XoRe, 23-Окт-15, 23:57 (91)
  - Ага, и те же люди будут впаривать про зелёную энергетику и прочую прозрачност, Michael Shigorin, 23-Окт-15, 14:22 (41) //
    - И где противоречие , Crazy Alex, 23-Окт-15, 15:34 (53)
- СОРМ-2 плачет кровавыми слезами , Alex, 23-Окт-15, 11:52 (7) //
  - Не совсем Там же главная фишка это сравнение времени соединений и размера пакет, qwerty, 23-Окт-15, 13:18 (25) //
    - Узнать можно, а вот доказать будет проблематично Хотя согласен - в условиях росс, Alex, 23-Окт-15, 23:43 (88)
      - Там, где актуален СОРМ и прочая - доказывать ничего не требуется, независимо от , Aleks Revo, 28-Окт-15, 14:26 (116)
  - К тому же, есть тип атаки по паттернам трафика - отпечаток сайта В базе хранитс, qwerty, 23-Окт-15, 13:22 (27) //
    - Это вообще уже из области паранойи Паттерны есть только у сайтов с предсказуемы, Alex, 23-Окт-15, 23:45 (89)
  - Это хорошо, нелегитимные органы должны страдать , user, 23-Окт-15, 13:53 (36) //
    - Нелегитимные давно уже протрясли свои пейсбук и гугль добрым словом и, видимо, ч, Michael Shigorin, 23-Окт-15, 14:24 (44)
- Уже давно пора Очень долго тянули , th3m3, 23-Окт-15, 12:21 (13)
- этот раз вполне может закончиться успехом, Нанобот, 23-Окт-15, 12:37 (18)
Разумным компромиссом была бы разработка стандарта, позволяющего сосуществование, Аноним, 23-Окт-15, 11:46 (4) //
- И утечка оного через Javascript Спасибо, не надо , Alex, 23-Окт-15, 11:53 (9) //
  - Вот с этого и надо начинать Выпилить наконец этот дырявый Javascript , anonymous, 23-Окт-15, 13:38 (31) //
    - При всей нелюбви ко всему, что содержит в названии java , таки поинтересуюсь а, Nas_tradamus, 23-Окт-15, 13:49 (33)
      - Перестать путать документы и приложения Для документов не нужна интерактивность, user, 23-Окт-15, 13:56 (37)
        
        можно ссылочку на парочку ваших приложений кто-то ими пользуется вы, наверное, , й, 23-Окт-15, 16:42 (58)
        
        миллионы мух не могут ошибаться, user, 23-Окт-15, 17:00 (62)
        
        да нет, могут особенно те, которые кричат в интернетах, что лучше всех знают, к, й, 23-Окт-15, 17:20 (63)
        
        Ага, сперва добейся гугол едишн Впрочем, подмять весь интернет под себя я не сч, anonymous, 23-Окт-15, 19:18 (75)
        
        Не 171 сперва 187 , а вообще 8212 171 добейся 187 - Гугл сотоварищи -, Aleks Revo, 28-Окт-15, 14:32 (117)
        
        То есть юзер, которому Вы отвечали, не жаждет пользовательской инфы, не пытается, Sluggard, 24-Окт-15, 14:48 (98)
        Какой толк от интерактивности Плавно выезжающая реклама, превращающая не слаый , Аноним, 27-Окт-15, 16:48 (114)
        
        Чувак ты не на ту гравицапу нажал, созвездие Лебедя это 150 парсеков на юг, , ., 23-Окт-15, 16:49 (61)
        В терии - да На практике все сложнее Вот же ж глупая практика, на ней всегда вс, dr Equivalent, 23-Окт-15, 17:22 (64)
        
        на практике в голове у людей мусор, поэтому они не могут отличить, где нужно при, Crazy Alex, 23-Окт-15, 17:33 (66)
        
        вот вы щас в приложение или в документ писали , й, 23-Окт-15, 17:41 (67)
        
        В приложение, разумеется Документ - штука по определению статическая, писать в , Crazy Alex, 23-Окт-15, 19:11 (73)
        
        ну, тогда к чему недовольствие тем, что современный веб -- это по сути веб-прило, й, 23-Окт-15, 19:58 (79)
        
        Тем, что из концептуального бардака вырос бардак технологический В результате -, Crazy Alex, 24-Окт-15, 19:35 (104)
        
        вы это про скайп написали , й, 26-Окт-15, 13:46 (113)
        
        бонусный вопрос а вот ещё бывают приложения для редактирования документов любо, й, 23-Окт-15, 17:45 (68)
        
        Документ в данном контексте получается на выходе приложения-редактора Когда там, Crazy Alex, 23-Окт-15, 19:18 (76)
        
        Два чая этому господину Добавлю только, что мощность современных вычислительных, anonymous, 23-Окт-15, 19:35 (77)
        да не вопрос, пересылайте дальше документы по uucp так нет же -- открывают нена, й, 23-Окт-15, 20:12 (80)
        
        Что обычно только затрудняет работу с ней через вменяемые интерфейсы типа Emacs , rob pike, 23-Окт-15, 21:36 (82)
        Что там хорошо для корпоратива - песня совершенно отдельная Я пишу о нормальном, Crazy Alex, 24-Окт-15, 19:41 (105)
        
        оффлайн-режим push notifications больше контроля за тем, кто и как используе, й, 26-Окт-15, 13:45 (112)
        Приложение - устанвоил на хорошем канале и пользуйся на плохом мегабайты веб-мо, Aleks Revo, 28-Окт-15, 14:41 (118)
    - откройте для себя наконец-то lynx и не учите, как остальным жить , й, 23-Окт-15, 16:43 (59)
      - Судя по количеству адблоков и ноускриптов они не живут, а страдают Вэб в текуще, anonymous, 23-Окт-15, 18:43 (71)
        
        Погоди хоронить Не все ещё WebGL насладились , Sluggard, 24-Окт-15, 14:50 (99)
        
        Это для 3D-баннеров , user, 24-Окт-15, 14:56 (101)
        
        Наверное Или чтоб картошку на Ферме сажать объёмную , Sluggard, 24-Окт-15, 14:57 (102)
т е если пароль солится или криптуется по http это конечно не в счет , manster, 23-Окт-15, 11:51 (6) //
- А вот кстати да, я уже давно юзаю CRAM-авторизацию в некоторых сервисах, где HTT, Alex, 23-Окт-15, 11:54 (10)
- Всмысле по http подключается JS с реализацией хэш-функции sha256, 8230 1 Т, arzeth, 23-Окт-15, 12:15 (11) //
  - Можно перехватывать все, что шлется по небезопасному каналу, поэтому нужно в люб, manster, 23-Окт-15, 13:06 (21) //
    - Динамическая соль требует хранения пароля в незашифрованном виде на сайте Избавл, тоже Аноним, 23-Окт-15, 13:51 (34)
      - использование статической соли бессмысленно ибо зная соль несложно сгенерить таб, manster, 23-Окт-15, 14:32 (45)
        
        Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если сол, тоже Аноним, 23-Окт-15, 14:53 (47)
        
        пересолю, manster, 23-Окт-15, 15:27 (49)
        Это рентабельнее на много и доступнее, чем тупой перебор , manster, 23-Окт-15, 15:32 (51)
        А кто мешает посчитать хеш, хранимый в базе, на клиенте, и от него посчитать уже, Alex, 23-Окт-15, 23:38 (85)
      - И снова мимо можно посчитать хеш от челенджа хеша исходного пароля , Alex, 23-Окт-15, 23:36 (84)
  - Нет, не становится Читать про CRAM - оно будет каждый раз разным Ну, на само, nuclight, 23-Окт-15, 13:32 (29)
  - Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом П, Alex, 23-Окт-15, 23:35 (83) //
    - Речь идет об SCRAM , manster, 23-Окт-15, 23:51 (90)
- Отличный велосипед значит либо у вас нас на сайте в базе данных реальные пароли, MidNight_er, 23-Окт-15, 12:17 (12) //
  - Отличный способ узнать, как на самом деле , manster, 23-Окт-15, 13:07 (22)
  - Не можно Учите матчасть , Alex, 23-Окт-15, 23:38 (86) //
    - Можно Учите матчасть , MidNight_er, 24-Окт-15, 15:13 (103)
      - Тут учить нечего, достаточно понимать, что вычисления хэша на сервере и на клиен, тоже Аноним, 24-Окт-15, 22:48 (106)
то есть все форумы и всякие админки вордпресса будут должны по HTTPS работать , Georges, 23-Окт-15, 11:52 (8) //
- Лучше бы - да А так, это же просто предупреждение , th3m3, 23-Окт-15, 12:23 (14)
- Не должны Просто будет помечаться, что не безопасно , Имя, 23-Окт-15, 13:19 (26)
- Всё, что использует session id, должно работать по HTTPS Потому что все хеши-па, Alex, 23-Окт-15, 23:40 (87) //
  - Ну давай, расскажи нам как установить tcp соединение со спуфленным ип и послать , Аноним, 24-Окт-15, 00:38 (93)
Ну а что с админками роутерными делать , Аноним, 23-Окт-15, 12:29 (15) //
- не пользоваться , Товарищ Майор, 23-Окт-15, 12:55 (19)
- ходить в них из интернет эксплорера мозиловцы так и делают , имя, 23-Окт-15, 12:55 (20)
- туннели, manster, 23-Окт-15, 13:08 (23)
- Ну, а в чём проблема Ну, будет warning, и всего-то , IZh., 23-Окт-15, 13:32 (28) //
  - Дело в том что глупо показывать предупреждение для подключения по HTTP через шиф, Аноним, 23-Окт-15, 16:27 (54) //
    - Это если VPN идёт прямо до сервера сайта А если VPN, допустим, в Европу, а дале, IZh., 23-Окт-15, 20:35 (81)
- Ставить OpenWRT , dr Equivalent, 23-Окт-15, 17:27 (65)
- Админка OpenWRT умееет https В последнем релизе даже уже в конфиг uhttpd добави, анонимус, 24-Окт-15, 00:00 (92)
Не вижу в этом смысла Похоже на маркетинговый ход, ведь у юзеров будет создават, Аноним, 24-Окт-15, 14:53 (100)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру