Víceúrovňové zabezpečení systému Mozektevidi.net - Mozektevidi.net.

Víceúrovňové zabezpečení systému

Je to pro mě naprosto běžná praktika zabezpečení webů. Ale co jsem si všiml, pro většinu to neplatí. Co je to víceúrovňové zabezpečení systému se dozvíte v článku

Co pro mě znamená víceúrovňové zabezpečení webu

Jedná se o prakticky o používání různých hesel pro různé činnosti. Dám příklad. Útočník se bude chtít dostat do mého administračního rozhraní. Už jenom to, že na něj nevede žádný odkaz z webu, neví kde mám administraci umístěnou. Zkusí tedy klasické /admin/ či /administrace Vyskočí mu login okno (ochrana heslem přes htaccess a zkouší hesla. Zkoušet je může jak dlouho chce, je to FAKE 8-) Tím se odradí spousty lamerů co "hackují" bruteforce metodou.
Jistě ho to baví. Pravý LOGIN je pod strašně složitou adresou. Kdyby na ní někdo náhodou přišel (login ve škole), vyskočí opět .htaccess okno, které si žádá heslo. Když by to heslo náhodou někod uhodl, což se nestane, vyskočí druhý login tentokrát přes php session, kde je omezený počet pokusů. Pak blogace IP. Heslo i jméno je samozřejmě jinačí, než v případě .htaccess

Pojďme si to tedy shrnout znova, útočník musí:

  • Najít pravý login, admin, administrace je fake login
  • Zjistit jméno k .htaccess
  • Zjistit heslo k .htaccess
  • Zjistit jméno k php session
  • Zjistit heslo k php sessinon
Pak má útoční docela vyhráno. Vidí přes sebou administraci, ve které může dělat bordel. I administrace má nějaká omezení. V administraci může pouze přidávat a upravovat články, komentáře, ankety, blokovat IP ... na FTP se stejně nedostane, protože sice zná heslo k htaccess i k PHP, nezná ovšem heslo k FTP. Ani k databázi na hostingu. Tomu říkám pocit bezpečí, aneb Víceúrovňové zabezpečení systému


autor článku OS | datum publikování 5.duben.2007 12:16 | krásná to věda, jen se to nesmí přehánět sociotechnika |

Kometáře

#1 Pacek wwwwww.itspot.cz

Zajímavé, trochu paranoidní, ale jistě účinné. btw: ten "nahý den" bez CSS mě začíná štvát... reaguj

datum 05.04.2007 16:47

unknown unknown

#2 SUK wwwsuksoft.ic.cz/

I ty kravo :D Ja mam odkaz na webu, a jenom jedno kratke heslo (asi 15 znaku) pres session. A i pres snahu nekterych se mi tam nikdo zatim nedostal (a ani ty se o to nesnaz, nepodari se ti to :) ) reaguj

datum 05.04.2007 17:03

unknown unknown

#3 rony wwwspravodaj.madaj.net/

mozes to vylepsit tym, ze na administraciu sa dostanes len cez https odkaz. reaguj

datum 05.04.2007 19:48

unknown unknown

#4 Golfy wwwwww.golfy.gotia.cz

mno, tak já mám odkaz taky na webu. Heslo neni zas tak těžký, ale je to hoodně velká zdrobnělina. takže se to skoro nikomu nepovede. Když jsem byl malej, tak sem měl "nejnekoulinkakoulinkatější"
někdy se mi stalo, že sem ho špatně napsal, ale pak pomohla moje oblíbená nahrávka, a bylo to reaguj

datum 05.04.2007 19:50

unknown unknown

#5 MzK wwwmozektevidi.net

TO Pacek: Účinné to je. Stačí mi, že zkoušejí hesla na FAKE. A navíc mě to nijak neomezuje, administraci mám napři v admin_X nebo jinde, nepřijdou na ni.
TO SUK: 15 znaků není málo, pokud jsou to čísla, písmena i znaky. A nerouhej! :)
TO rony: https ničemu nepomůže, jedná se pouze o zabezpečené spojení, které je šifrované. Nedá se pak odposlechnout na LAN i když pochybuji, že by se o to někdo pokoušel.
TO Golfy: Schválně kolik lidí ti začne zkoušet hesla po tomto komentáři :-D reaguj

datum 05.04.2007 20:59

unknown unknown

#6 FantomasS wwwfantomass.php5.cz/

MzK: Jsi paranoidní ... ;-) reaguj

datum 05.04.2007 21:51

unknown unknown

#7 Golfy wwwwww.golfy.gotia.cz

TO MzK: JJ, zajímalo by mě to, ale předem upozorňuji, asi na to nepřijdete.. reaguj

datum 05.04.2007 23:36

unknown unknown

#8 Golfy wwwwww.golfy.gotia.cz

Tak už mám 2 pokusy o neplatné přihlášení. Nezná nikdo tuto IP: 88.101.39.16 ??? reaguj

datum 06.04.2007 09:58

unknown unknown

#9 PCMark wwwpcmark.info

Takže leda zjistit heslo na FTP. Jen jestli tento článek nesnížil bezpečnost tohoto webu. reaguj

datum 06.04.2007 22:58

unknown unknown

#10 MzK wwwmozektevidi.net

TO PCMark: Zjistit heslo na FTP. Heslo na FTP nikde neuvádím, zpaměti ho ani neznám. Vše je řešené přes databáze, na ftp chodím jen když chci měnit CSS nebo PHP skripty. Pokud by někdo zjistil heslo na FTP, může prakticky všechno ale hesla nezjistí, ty jsou zahashované podobě či jinak nečitelný.
Jeslti mi to snížilo bezpečnost webu nevím, pouze jsem uvedl, že admin je FAKE, ale co když blafuji¨ :-D reaguj

datum 07.04.2007 10:29

unknown unknown

#11 PCMark wwwpcmark.info

Když už by měl někdo přístup na FTP, tak ho ani heslo do administrace nemusí zajímat. Na FTP máš i heslo k db v čitelné podobě, takže nad webem by měl útočník plnou kontrolu. Může ti pak heslo do administrace třeba změnit. Heslo k FTP by jsi měl znát, protože ukládat si ho do nějakého sw taky nemusí být zrovna bezpečné.
A co když někdo nainstaluje na školní PC keylogger? Na co je ti potom více urovňové zabezpečení? Není to nebezpečné se ve škole přihlašovat do administrace? Tomu říkáš pocit bezpečí? :-D reaguj

datum 07.04.2007 13:11

unknown unknown

#12 MzK wwwmozektevidi.net

TO PCMark: Přihlašuji se ze školní sítě ale na svém notebooku. Tam keylogger nehrozí. Čitelná podoba hesla mozektevidi.net/clanek/sifrovani-php… a k .htaccess je heslo uložení v .htpasswd a tam také není čitelné reaguj

datum 07.04.2007 13:32

unknown unknown

#13 j.t.d. www

Ono by stačilo heslo odněkud kopírovat přes schránku a keylogger ne nechytá (ať z nějakého toho programu, které se používají na skladování hesel a jiných tajných informací, nebo z nějakého dokumentu, který může být i remote uložený...). reaguj

datum 07.04.2007 20:20

unknown unknown

#14 Smith wwwcmsfaethon.org

tohle není paranoia, tohle je demence... pokud si musíš jistit administraci 3 způsoby najedou, tak to maximálně svědčí o tvé neschopnosti ji zabezpečit pořádně jedním způsobem. reaguj

datum 09.04.2007 23:06

unknown unknown

#15 Golfy wwwwww.golfy.gotia.cz

TO Smith: nevim, třeba MzK tenhle článek napsal "Jen tak" pro srandu králíkům, a že ve skutečnosti to je pouze jedno heslo, administrace je tady /admin a nic jinýho tam chráněnýho neni... reaguj

datum 10.04.2007 07:34

unknown unknown

#16 MzK wwwmozektevidi.net

TO Smith: Chceš se hádat? Řekni mi, co mě víc omezuje. Když bych zadával do /admin heslo jf2lf_feS(§3fds.-!2edA# (hodně složité) nebo když budu zadávat jednoduší a kratší heslo do /moje_tajna_stranka? Mám pravdu. 8-) reaguj

datum 12.04.2007 01:03

unknown unknown

#17 Smith wwwcmsfaethon.org

Takže abys mohl použít jednoduché a krátké heslo, tak schováš administaci do /xyz/ ?
imho lol... tohle svědčí jen o tvé neschopnosti pořádně zabezpečit administraci na normálním místě.
A ještě k délce a složitostí hesla - neznáš ctrl+enter v Opeře? nebo KeePass? reaguj

datum 13.04.2007 16:07

unknown unknown

#18 MzK wwwmozektevidi.net

TO Smith: Myslím rozumný kompromis. Mám středně dlouhé heslo, které si pamatuji. A admin je fake, administraci mám shovanou. Pokud to nechápeš, zdrž se dalšího vyjadřování. ctrl+enter znám, používám. Nevím co je na tom k nepochopení, že není dobré používat fake administraci, kde se skript kiddie vyblbnou reaguj

datum 13.04.2007 16:26

unknown unknown

#19 ahoj www

zničte travian.cz reaguj

datum 07.05.2007 17:32

unknown unknown

#20 matej21 www

TO ahoj: dalsi inteligentni prispevek... mozna sis nevism, ale tohle neni clanek o travianu ale o zabezpeceni! a proc by si chtel nicit travian??? reaguj

datum 07.05.2007 18:08

unknown unknown

#21 MzK wwwmozektevidi.net

TO ahoj: Co za to? Co z toho?
TO matej21: Travian nesnáším, je to magořina nejvyššího kalibru reaguj

datum 08.05.2007 02:01

unknown unknown

#22 Joe www

TO:MzK neces ho zkusit HACKNOUT?????? :-D reaguj

datum 28.05.2007 20:44

unknown unknown

Nové kometáře nejsou povolené.