On Thu, 28 Feb 2002, Eugene B. Berdnikov wrote:
> >
> > Вот пример механизма
> > - автор spy.cgi идет (по http) на supersecret/.... и смотрит там Realm
> > - и выдает, соответственно, такой же.
>
> Мысль, конечно, интересная, хотя надо суметь заманить уже авторизованного
> юзера на свою страничку, да потом подсунуть ему nph-скрипт, выдающий 401...
> Хотя в принципе реализуемо.
>
Да НИЧЕГО не нужно. То есть ВООБЩЕ. Netscape и MS IE, если их однажды
/supersecret/ попросил авторизоваться будут выдвать ВСЕ пароли на /~someuser/
даже если тот ВООБЩЕ не запрашивает авторизацию ! Это я сглупил про realm'ы
все на самом деле куда хуже (или лучше - смотря с какой стороны смотреть :-)
Все просто: если Netscape не будет этого делать, то ему придется на каждую
защищенную страничку посылать два запроса (один - без пароли и после
получения отлупа - второй уже с паролем), что замедлит процесс просмотра и
заставит тупого клиента обратится к продукции конкурента. А что пароль, в
общем-то, "на деревню дедушке" высылается, когдя его о том совсем даже не
просят - всем наплевать. Конечно это не работает с links'ом каким-нибудь,
но много ли народу запускают links, чтобы на защищенный сайт зайти ?
> А меня посетила такая мысль: через ptrace(2) во многих юниксах можно
> получить все данные, которые передает клиент - для этого достаточно,
> чтобы uid, под которым выполняются cgi-ные скипты, совпадал с uid'ами
> апачевых дочек.
>
> Так что это защита от "честных воров" получается? :)
Это ДРУГАЯ атака. И от нее тоже можно закрыться (например выключив ptrace
вообще). Но:
1. Она сложнее реализуема...
2. Она автоматически закрыта в случае использования suexec'а ...
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
