26-08-2006, 19:37
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
אפשר לראות סיסמאות בזמן התעבורה שלהן אל השרת...
בתגובה להודעה מספר 1 שנכתבה על ידי בן אור שמתחילה ב "מנהלים (ראשיים) יכולים לראות סיסמאות של משתמשים?"
שהרי התקשורת איתו אינה מוצפנת (ולא רק אני מסוגל לראות, אלא כל מי שיש לו שליטה על כל ציוד תקשורת שהוא בדרך בין הגולשים אל האתר).
בנוסף, ניתן לשנות את קוד המקור של האתר כך שחוץ מבדיקת הסיסמא על ידי הצפנה חוזרת (לשם אימות MD5), ייעשו איתה עוד דברים, כגון, לדוגמא, לשמור אותה בקובץ, או לשלוח אותה במייל, או כל דבר אחר, וזאת בלי לשנות אותה.
אם סיסמא לא נתפסה בתקשורת בין הדפדפן לשרת, ולא נשמרה מעבר לאיך שהמערכת שומרת סיסמאות בברירת מחדל (קרי - ב MD5), הדרך היחידה למצוא אותה היא על ידי brute force על חתימות ה MD5 במסד הנתונים, וגם אז, בסופו של דבר, תימצא סיסמא, אך לא בהכרח הסיסמא המקורית, אלא סתם סיסמא שמובילה ל MD5 המסויים. ספציפית, במוצר הפורום שבו אנו משתמשים, מתווסף עוד רצף תווים ייחודי לכל התקנה והתקנה של המוצר, כך שמ MD5 של משתמש בפורום VB מסויים, אי אפשר לעלות על סיסמא שתעבוד גם בפורום VB אחר, אפילו אם הסיסמא המקורית, הלא מוצפנת, זהה בשתיהן.
עד כאן למה ניתן לעשות מבחינה טכנית (ומבוא קצר לאבטחת מידע :-) )
בפועל, אני יכול להתחייב בפניך, שאני, באופן אישי, מעולם לא עשיתי זאת...
נ.ב. כל מה שנאמר לעיל נכון מול רוב די מוחלט של אתרים באינטרנט, כי עדיין רוב האתרים, למעט אולי כאלה שמעבירים מידע פיננסי (כגון כרטיסי אשראי וכו'), אינם מצפינים נתונים בברירת מחדל. אין לפרש באופן טכני מניעה שהתקשורת אל השרת תהיה מוצפנת, אך הדבר כרוך בעלויות מסויימות, שאני לא בטוח שמצדיקות את ההוצאה לעומת התועלת...
|