Vlákno názorů k článku Helpdesk na webu může být problém, když ochranu dat neberete vážně od Filip Jirsák - Pokud ID bude sha-256, tak to sice volný...

Článek je starý, nové názory již nelze přidávat.

Podle hodnocení
Podle vláken
Nejnovější

28. 6. 2016 9:12

Filip Jirsák

Pokud ID bude sha-256, tak to sice volný přístup přímým zvýšením čísla už neumožní, ale stále je to opět „security through obscurity“ a pokud bude někdo chtít, tak si prostě toho robota se všemi sha-256 kombinacemi může napsat a poslat ho na jejich web. Nehledě na to, že stále zůstává problém v tom, že případná „prozrazená“ adresa bez žádosti o přihlášení bude znamenat, že se vše stane přístupné někomu, kdo k tomu přístup mít nemá.
Proč o bezpečnosti píše někdo, kdo jí vůbec nerozumí? Kdyby ten webserver dokázal obsloužit noniliardu (tj. 10⁵⁷) požadavků za sekundu, bude zkoušení všech kombinací SHA-256 pořád trvat několikrát déle, než je současné stáří vesmíru.

To, že není (nyní ani v blízké budoucnosti) reálně možné vyzkoušet všechny možné hodnoty hashovací funkce, je důvod, proč se vůbec hashovací funkce používají. Což je ta první věc, kterou by měl o hashovacích funkcích vědět někdo, kdo chce pochopit základy bezpečnosti.

Ochrana nějakým tajným údajem není „security throught obscurity“. To Dočekalovo „přihlášení“ není nic jiného, než ochrana tajným údajem. Je úplně jedno, jestli se tomu tajnému údaji říká heslo nebo bezpečnostní kód. A je celkem jedno, zda ten tajný údaj je součástí URL nebo se posílá jako HTTP hlavička nebo formulářové pole – pořád to putuje ve stejném HTTP požadavku a typicky stejným paketem. Jediný rozdíl je v tom, že u hesel ví každý, že je nemá nikomu říkat, v případě URL s kódem je potřeba na to uživatele explicitně upozorňovat.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2016 10:08

OH (neregistrovaný)

Amatérismus Filipa Jirsáka v online podobě.
http://www.lupa.cz/clanky/helpdesk-na-webu-muze-byt-problem-kdyz-ochranu-dat-neberete-vazne/nazory/736968/
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2016 11:58

bubák (neregistrovaný)

Rozumnější by bylo vrátit se ze stromu do civilizace, naučit se něco o sessions, a umožnit případně tzv. "trvalý" přihlášení.
Ale když má někdo mrak v netovým pralese roku cca 1990...
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2016 11:36

Jenda (neregistrovaný)

Pokud nejsou debilové, budou počítat třeba SHA(key + číslo) (pozor na length extension útoky) nebo tak něco.

Rozumnější by ale bylo místo nějakého hashování prostě požadavku vygenerovat unikátní URL s dostatečnou entropií…
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2016 12:15

Filip Jirsák

Session není civilizované řešení, právě naopak, je to nebezpečná obezlička kvůli tomu, že infrastruktura kolem HTTP neumí rozumně autentizovat každý požadavek (přestože v HTTP standardu se s tím počítá).
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2016 12:47

Pazu (neregistrovaný)

Zakódování URL (SHA-cokoli, GUID apod.) bez přihlašování nic neřeší, protože "oprávněný" uživatel pak klikne na bookmark google (nebo napíše něco do hledání) a google se dozví v referreru tu URL, kterou OBRATEM stáhne a všechno je víme kde.... a to nevratně. Navíc stačí napsat site:helpdesk.cz a vypíše všechny takové URL. NoRobots apod. to řeší velmi málo. SSL nepomáhá. Proč tam nemají aspoň trvalou cookie a první přihlášení mi nikdo nevysvětlí.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2016 12:58

Filip Jirsák

URL se pro přihlášení používá běžně. Používá to tak i Google, používá to tak Dropbox a všichni ostatní. Nevím, co myslíte tím „bookmark google“, při vyhledávání z prohlížeče se referrer neodesílá (protože to vyhledávání nemá nic společného se stránkou, kterou má uživatel náhodou otevřenou). Google nemůže indexovat stránky, o kterých se dozví z prohlížeče (např. při analýze malware stránek).
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2016 13:44

Jenda (neregistrovaný)

1) Alespoň můj Firefox neposílá referrer při otevření bookmarku do existujícího tabu.

2) Tohle jsem kdysi zkoušel, vyrobil jsem si stránku a Google jsem na ni různě vábil (Safe broswing, posílání odkazu přes GMail…), a nejen, že se neobjevila ve vyhledávání, on ji dokonce ani nestáhl (koukal jsem do access logu). Máš vyzkoušený nějaký postup, jak robota přilákat?

Aktuality

Za sobotním kolapsem na železnici může selhání databáze na serveru v systému GSM-R, řekl ministr

Šéf ČT: Kromě zpravodajství jsme šetřili i jinde, zmrazili jsme 50 milionů

Akademie věd spustila nový web o změně klimatu. Ukazuje, jak se do konce století změní počasí v Česku

Vlákno názorů k článku Helpdesk na webu může být problém, když ochranu dat neberete vážně od Filip Jirsák - Pokud ID bude sha-256, tak to sice volný...

Aktuality

Za sobotním kolapsem na železnici může selhání databáze na serveru v systému GSM-R, řekl ministr

Šéf ČT: Kromě zpravodajství jsme šetřili i jinde, zmrazili jsme 50 milionů

Akademie věd spustila nový web o změně klimatu. Ukazuje, jak se do konce století změní počasí v Česku

Dále u nás najdete