Выбираем серебряные подарки для детей
Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Программирование

Важная информация
Программирование - PHP, MySQL, JavaScript, CSS, HTML верстка и т.д.

Ответ
 
Опции темы Оценить тему Опции просмотра
Старый 02.02.2016, 22:59   #1
 
Аватар для Unick
 
Сообщений: 698
FR (активность): 31,962

Доп. информация
По умолчанию Автор темы Взлом VK. Безопасная авторизация (часть 1 из 3)

Внимание! Статья 2012 года. Переношу блог со своего сайта на форум.
Скрытый (как скрывать?) текст. Только для группы: "Пользователь":
Ваша группа не позволяет просмотреть скрытую информацию.

Взлом VK. Безопасная авторизация (часть 1 из 3)
Привет друзья! Сейчас я поднимаю тему о безопасной авторизации, будем предотвращать кражи паролей.
Сначала я думал, напишу одну большую тему, но как только начал ее составлять, решил разделить на 3 части:
  1. Поведение пользователей и виды взлома.
  2. Пишем скрипт авторизации.
  3. Мыслим о том, что еще можно сделать.
Если эта тема рассчитана на всех, то последующие две - для программистов. Но все равно я постараюсь писать, так чтобы всем было понятно.
Итак, начнем!


Кража паролей или как украсть пароль вконтакте.

Украсть или быть обокраденным. Социальная сеть Вконтакте - это пример, который тесно связан с этой темой. Все что описано ниже - касается бок о бок с аккаунтами: ВКонтакте, Твиттер, Facebook, Google и др.

Как можно получить доступ к ресурсам, которые почти невозможно взломать? У них работает настолько грамотный штат специалистов, что пытаться обойти их систему защиты – выйдет себе дороже!

Но все в нашем мире возможно! И взламывать аккаунты нам помогает - человеческая глупость! Я серьезно! Сейчас приведу пару примеров...

Пример 1.

Вот представим, у нас есть банковский аккаунт, мы пользуемся любимым форумом и играем в какую-нибудь онлайн игру. Вопрос: как получить доступ к банковскому аккаунту?

Вариант с утюгом и паяльником конечно хорош, но не лучше взломать тот любимый форум или туже онлайн игру, я думаю, у них более менее лояльная система защиты, чем у банка! А причем тут человеческая глупость? У многих пользователей ОДИНАКОВЫЕ ПАРОЛИ, причем логины зачастую тоже одинаковы.

Пример 2.

Второй фактор человеческой глупости это «супер пароль»
Вот пару примеров:
  1. 123123
  2. 12345
  3. qwerty
  4. 111111
  5. 55555
  6. 777777
  7. Password
Вы это называете паролем? Такие пароли грубым перебором проверяются в первую очередь! К той же области относятся пароли вроде номера телефона или даты рождения, а еще лучше просто ваше имя! Злые друзья вам спасибо скажут.

Пример 3.

Фишинговый сайт - это такой сайт, который похож на оригинальный, только служит для собирания логинов и паролей. Умный вариант чтобы развести свою жертву...

Пример 4.

Забыли установить антивирус? Ну если ваш компьютер подключен к интернету, и у вас не установлен антивирус, то будет бо-бо голова, когда половину ваших аккаунтов заблокируют, а к другой половине просто утеряем доступ. Но мы не такие люди, у нас все в наличии. Правда?

К сути данного примера:
  • Сидит на нашем компьютере клавиатурный шпион, отслеживает: на каких сайтах - какие данные мы вводим.
  • Сидит умный червячок, перенаправляет нас на фишинговые сайты (Пример 3).
  • Заходим случайно на левый сайт, в поисках информации, а там недоскрипт, ворующий Cookies браузера.
Пример 5

Сидим в кафе, решили войти на сайт, а рядом сидит умный дядя, который чисто случайно перехватил пару пакетов, который отсылает ваш компьютер, и методом фильтрации находит логин и пароль, супер! Не забыли про Пример 1?
А как это относится к глупости? В общественных местах все сайты с незашифрованным соединением (без SSL) попадают в категорию уязвимых сайтов... Это каждый должен знать.

Объединяем наши примеры:

Историю, где мы недавно авторизовались, можно узнать из cookies браузера. По этому хакеру не трудно узнать, где мы зарегистрированы, чтобы сделать свое грязное дело!
Многие любят зарегистрироваться на несуществующей почте (или на временной). Так вот, кто-то умный это может проверить, зарегистрировать «вашу» почту, и восстановить пароль! А у вас везде одинаковые пароли? Хорошо, что нет

Итог:
  • На важных ресурсах должен быть иной пароль
  • Пароль должен быть простым для вас, но сложным для других
  • Не отправляйте другим лицам ваш пароль
  • Пользуйтесь антивирусом
  • В незнакомых местах не стоит пользоваться незашифрованным соединением

Популярные виды и способы взлома

SQL injection – последствия могут быть разными. Результатом чего могут сломать базу, и сайт выйдет из строя, либо просто своруют ваш логин (и пароль, если он не за хеширован).

XSS – последствием является утечка Cookies. На сайтах вы можете встретить скрипты, которые будут передавать копии ваших куки в третьи руки. Что очень опасно для вашей конфиденциальной информации.

Сниффер – программа, которая считывает трафик, и методом фильтрации выискивает логины и пароли в локальной сети. Иными словами заходя на сайт, вы отправляете серверу информацию, которую можно перехватить.

Фишинговый сайт – вы просто отдаете свои данные. В основном на такие сайты попадают двумя способами: невнимательность и вирус.

Брутфорс – имея логин, пароли тупо перебирают.

Вирусы – чего они только не творят.

Если кто-то имеет прямой доступ к вашему компьютеру, то ему не составит труда получить все ваши сохраненные пароли (в браузере например).


andreisoroka.com
Unick вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 03.02.2016, 23:44   #2
 
Аватар для qooi
 
Сообщений: 2
FR (активность): 11

Доп. информация
По умолчанию

Устарело это все
qooi вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 04.02.2016, 00:18   #3
 
Аватар для tilperion
 
Сообщений: 37
FR (активность): 899

Доп. информация
По умолчанию

@-Unick,
Какой антивирус наиболее нормальный(в смысле защиты) на данный момент ?
tilperion вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 04.02.2016, 00:39   #4
 
Аватар для Unick
 
Сообщений: 698
FR (активность): 31,962

Доп. информация
По умолчанию Автор темы

@tilperion, http://www.comss.ru/page.php?id=2000

P.s. у меня nod32 стоял когда-то, так как фаервол удобно настраивался. Сейчас сидя на линуксе мне это не нужно


andreisoroka.com
Unick вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
tilperion (04.02.2016)
Старый 04.02.2016, 02:23   #5
 
Аватар для MVS
 
Сообщений: 544
FR (активность): 7,646

Доп. информация
По умолчанию

Цитата:
Сообщение от tilperion Посмотреть сообщение
Какой антивирус наиболее нормальный
Оффтоп:
по поводу nod32 есть тема, которой сам пользуюсь:
на сайте http://trialeset.ru/ каждую неделю выкладывают бесплатные месячные ключи. В итоге мы имеем официальную бесконечно бесплатную версию антивируса.
MVS вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 31.08.2017, 12:12   #6
 
Аватар для Tucha
 
Сообщений: 1
FR (активность): 90

Доп. информация
По умолчанию

Читал публикацию от автора негласной нормы пароля, который должен обязательно содержать цифры, заглавные буквы и символы, что этот "стандарт" был ошибкой.
Как выяснилось, пароли, содержащие в себе несколько никак не связанных между собой слов, надёжнее.
А как вы думаете?


Провайдер облачных сервисов Tucha.ua
Tucha вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 31.08.2017, 14:04   #7
 
Аватар для Древний
 
Сообщений: 58
FR (активность): 625

Доп. информация
По умолчанию

Цитата:
На важных ресурсах должен быть иной пароль
Пароль должен быть простым для вас, но сложным для других
Не отправляйте другим лицам ваш пароль
Пользуйтесь антивирусом
В незнакомых местах не стоит пользоваться незашифрованным соединением
Это как бы давние истины. Хотя для новичков будет полезно, но те кто давно увлекается ит сферой - это все уже знают, хотя не факт, что всегда следуют всем рекомендациям.
У меня вот к ресурсам которые не представляют особой важности - часто стоят одинаковые пароли, но я не беспокоюсь, если их взломают - или создам еще аккаунт или восстановлю через телефон или мейл.
ВК у меня за 9 лет пользования ни разу не взламывали. И фишинговый сайт - хрень для полных нубов: у меня закладка вк и фб на экспресс-панели - таким образом хрен я попаду на фишинговые сайты.


Агентство переводов "Gakrus" Skype: gakrus.perevod
E-mail: gakrus.perevod@gmail.com
Древний вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 31.08.2017, 14:43   #8
 
Аватар для Twickbot
 
Сообщений: 55
FR (активность): 421

Доп. информация
По умолчанию

Во всех нормальных системах, где требуется ввод пароля, уже давно стоИт защита от брутфорса.
Поэтому, кража пароля стала крайне маловероятным явлением.


Сервис клоакинга: www.twickbot.com
Twickbot вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 01.09.2017, 17:19   #9
 
Аватар для Древний
 
Сообщений: 58
FR (активность): 625

Доп. информация
По умолчанию

Цитата:
Во всех нормальных системах, где требуется ввод пароля, уже давно стоИт защита от брутфорса.
Поэтому, кража пароля стала крайне маловероятным явлением.
Есть ещё такие, кто умудряется попадать на фишинговые сайты. Мне периодами знакомые говорят, что их взломали каким-то образом. Думаю, что тут как раз-таки их косяк был.


Агентство переводов "Gakrus" Skype: gakrus.perevod
E-mail: gakrus.perevod@gmail.com
Древний вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 02.09.2017, 09:37   #10
 
Аватар для Twickbot
 
Сообщений: 55
FR (активность): 421

Доп. информация
По умолчанию

Цитата:
Сообщение от Древний Посмотреть сообщение
умудряется попадать на фишинговые сайты
Ну, это совсем глупым надо быть.


Сервис клоакинга: www.twickbot.com
Twickbot вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 18.10.2017, 21:31   #11
 
Аватар для nicfeer
 
Сообщений: 7
FR (активность): 40

Доп. информация
По умолчанию

Для ввода пароля лучше использовать виртуальную клавиатуру и конечно же антивирусная программа обязательна. Я использую касперского. Считаю лучшим антивирусным решением
nicfeer вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 21.10.2017, 22:12   #12
 
Аватар для VIPERST
 
Сообщений: 10
FR (активность): 72

Доп. информация
По умолчанию

Разве авторизация через смс не решает подобные проблемы? У меня не самый сложный пароль, но используя этот метод даже не переживаю за свою страничку.
VIPERST вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 23.10.2017, 17:59   #13
 
Аватар для Unick
 
Сообщений: 698
FR (активность): 31,962

Доп. информация
По умолчанию Автор темы

Цитата:
Сообщение от nicfeer Посмотреть сообщение
Для ввода пароля лучше использовать виртуальную клавиатуру и конечно же антивирусная программа обязательна. Я использую касперского. Считаю лучшим антивирусным решением
Тыкать мышкой? Как-то не удобно и долго. так же можно получить коориднаты мышки и скриншоты, и чувак за спиной видит куда тыкаешь (клава + скоропись = че за?)

Цитата:
Сообщение от VIPERST Посмотреть сообщение
Разве авторизация через смс не решает подобные проблемы? У меня не самый сложный пароль, но используя этот метод даже не переживаю за свою страничку.
Да. Смс или программы для двухфакторной авторизации очень хорошо поднимают уровень безопасности. Ведь на одних паролях очень стремно жить, они никогда не считались безопасными.

Спасибо.

Можно сделать не самый сложной пароль, но для тебя. По факту меняя часть пароля в зависимости от сервиса, которым пользуешься. Тогда не так страшно будет потерять мобильный.

Статья 2012 года, тогда этого всего добра не было реализовано Но я рад что ее все еще кто-то читает. Я верю, что кому-нибудь это помогло, путь он сам этого и не знает


andreisoroka.com
Unick вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 23.10.2017, 21:22   #14
 
Аватар для skovasko
 
Сообщений: 14
FR (активность): 75

Доп. информация
По умолчанию

Цитата:
Сообщение от VIPERST Посмотреть сообщение
Разве авторизация через смс не решает подобные проблемы? У меня не самый сложный пароль, но используя этот метод даже не переживаю за свою страничку.
Уже сколько раз говорили, что такой метод тоже достаточно просто можно взломать.
skovasko вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Ответ

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Безопасная реконструкция сайта express-rus Оптимизация страниц сайта 5 15.01.2016 09:24
[ Вопрос ] Часть страниц из раздела в индексе, а часть - нет. Akustika Индексация сайта 0 30.06.2014 14:20
Гугл карты - авторизация LimeStudio Google 0 14.01.2013 09:00
Безопасная публикация неуникального контента sainty Индексация сайта 11 11.07.2012 09:17
Авторизация в гугл Aqula Программирование 1 14.05.2012 15:14

Текущее время: 19:55. Часовой пояс GMT +3.