Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Single Sign On with Nginx

To: nginx-ru@xxxxxxxxx
Subject: Re: Single Sign On with Nginx
From: Andrew Kopeyko <kaa@xxxxxxxx>
Date: Fri, 26 Feb 2010 12:36:51 +0300
In-reply-to: <bc79dd601002260022q238c6eeey27f8ff2878890c31@xxxxxxxxxxxxxx>
Organization: Zvuki.RU
References: <bc79dd601002231132g36946d68g5f6abc0e6aefe70f@xxxxxxxxxxxxxx> <f4079bd81002231349g76f776a8y4f44c44af072f51b@xxxxxxxxxxxxxx> <bc79dd601002231531peaea8c8q5c9dd2c37f0fdc03@xxxxxxxxxxxxxx> <d4574cb31002231618h20d867eo88679514713805e8@xxxxxxxxxxxxxx> <bc79dd601002232248g493bb5ah7363436fbd8254fe@xxxxxxxxxxxxxx> <d4574cb31002240130k272532cr73ef4f491df0e2ab@xxxxxxxxxxxxxx> <bc79dd601002250832w5e21c3a1qd36a31c565d58739@xxxxxxxxxxxxxx> <4B87724C.6000407@xxxxxxxx> <bc79dd601002260022q238c6eeey27f8ff2878890c31@xxxxxxxxxxxxxx>

Mikhail Fursov wrote:

2010/2/26 Andrew Kopeyko <kaa@xxxxxxxx <mailto:kaa@xxxxxxxx>>

    Mikhail Fursov wrote:


        2) Должна быть указан URL страницы на которую переходить при
        ошибке аутентификации. Тут важно передать странице с ошибкой
        полную информацию об аутентификации - логин, пароль, тип ошибки
        (если возможно). В Apache этого нет, поэтому когда происходит
        ошибка аутентификации и пользователя требуют заново ввести
        пароль совсем непонятно по какой причине: его аккаунт
        заблокирован, задан неправильный пароль etc. Это очень неудобно.


    Зато правильно с точки зрения безопасности - при отказе в доступе не
    происходит раскрытия информации. Удивительно, что вы не знаете таких
    базовых вещей.

    А ваш "дружественный" интерфейс будет подыгрывать взломщику,
    позволяя ему последовательно подобрать логин, а затем пароль.

    Вы ведь не ограничиваете кол-во неудачных попыток авторизации?

Я не гуру в разработке веб-серверов но не вижу тут никакого раскрытияинформации. На error-document шли бы те же данные, что ввел сампользователь. Что из них ожно раскрыть?

Если вы не будете разжёвывать пользователю что именно он ввёлнеправильно, а просто скажете "не попал" - тогда раскрытия не будет.

А вот если вы будете ему сообщать (условно) "неправильный логин", "логинзаблокирован", "логин верный, неверен пароль" - это уже раскрытиеинформации. Ведь до момента успешной авторизации вы знать не знаете ктосидит на другой стороне - валидный пользователь, или злоумышленник.Собственно, для того вы аутентификацию и делаете - дабы отличить одногоот другого.

Посмотрите вокруг - в подавляюшем большинстве информационных систем принеудачной аутентификации говорится что-то типа "доступ запрещён" неуточняя по какой именно причине. Windows в этом месте - сделанисключительно правильно.

Но вы, если я правильно вас понял, хотите облегчить пользователю жизнь,и подсказывать бедолаге в чём именно он ошибся, в логине или в пароле.

Т.е. в дилемме "удобство vs. безопасность" вы выбираете "удобство", темсамым снижая безопасность вашей системы.

Безопасность будет снижаться, потому что злоумышленнику не нужно будетподбирать всю пару логин-пароль - он сможет, пользуясь подсказкамивашего дружественного интерфейса, отдельно подобрать незаблокированныйлогин (передавая, к примеру "" в качестве пароля), и затем подобратьверный пароль к этому логину. Поскольку длина отдельно логинасущественно меньше длины пары логин-пароль, времени на такой подборпотребуется существенно меньше.

Решать, разумеется, вам - но настоятельно советую отказаться от вашейзатеи "с удобствами", и наружу выдавать только сообщение "доступзапрещён", без подробностей.



--
Best regards,
Andrew A. Kopeyko <kaa@xxxxxxxx>
http://www.zvuki.ru/

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Andrey N. Oktyabrski
- Re: Single Sign On with Nginx
  - From: Gena Makhomed

References:
- Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: SaveFrom.net
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Daniel Podolsky
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Daniel Podolsky
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Andrew Kopeyko
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov

Prev by Date: Re: Single Sign On with Nginx
Next by Date: Re: Single Sign On with Nginx
Previous by thread: Re: Single Sign On with Nginx
Next by thread: Re: Single Sign On with Nginx
Index(es):
- Date
- Thread