Телепередача зі мною на 1+1
20:12 13.09.2008Після виходу в березні попередньої телепередачі зі мною на Інтері, очікується нова телепередача в цьому місяці.
Сьогодні я знявся для новин для телеканалу 1+1. Які будуть показані на ТБ завтра. Сюжет з моєю участю вийде 14 вересня в 19:30 на 1+1 в програмі “ТСН” (в новинах). В сюжеті мова буде йти про атаки на сайти банків.
Так що всі бажаючі можуть завтра подивитися телепрограму з моєю участю .
P.S.
Можете переглянути дане відео в своєму плеєрі:
http://websecurity.com.ua/uploads/articles/tv_video3.flv
Вівторок, 12:17 16.09.2008
Бачив випадково. Круто про банківських працівників завернув
З каптчею дурна проблема: коли відкриваєш в іншому табі іншу сторінку сайту, то каптча переписується в сесії. Може якось прив’яжеш до сторінки, можна тупо - id статті використати як ключ асоціативного масиву, в який класти код капчі (чи хеш, що ти там кладеш).
Вівторок, 23:56 16.09.2008
Радий, що тобі сподобалось .
То я говорив не про працівників, а про безпеку сайтів банків. Але ясна річ, в банках є люди, які відповідають за безпеку сайтів банків - секюріті працівники (в тому числі керівники секюріті департаменту), а також топ менеджмент, що відповідає за фінансування цього напрямку. Ось до них цілком може віднестися моє формулювання (якщо за безпекою власного сайта не слідкують).
Середа, 01:34 17.09.2008
Це звичайна особливість роботи капчі - що в сесії записується тільки останнє значення капчі (так працюють більшість капч, що використовують сесії). І це трапляється лише у випадку, коли ти відкрив (в табі) іншу сторінку з капчею. Якщо ж відкриєш іншу сторінку сайта де капчі немає, то і проблеми не буде. Це природня робота капч з даним алгоритмом (і це робиться за для безпеки) - тому варто звикати , бо на інших сайтах з цим також можеш стикнутися.
Проблему з капчою, з якою ти постійно маєш справу, можна вирішити двома шляхами.
1. Ти можеш звикнути до неї (і алгоритму її роботи). І інші сторінки з капчою відкривати або без графіки (щоб не оновилося її значення в сесії), або враховуючи останнє значення капчі в останньо відкритому табі, й вводити його в тому вікні де ти пишеш коментар.
2. Або використати інший метод, який повністю вірішить дану проблему з капчою. І про який я вже давно замислився, враховуючи твої постійні потасовки з моєю капчою (яка в мене стоїть на варті).
Середа, 13:42 17.09.2008
Не згоден, що природня. Твоя ціль - ротація каптчі, але це можна зробити більш зручно для користувачів. Безпека, котра псує юзабіліті - це погана безпека.
Тема для холівару, але я впевнений у цьому. І твої поради не вирішують проблему по суті, а залатують дірки.
Я запропонував простий шлях: прив’язуй ключ до сторінки, і перезаписуй його при оновленні тільки цієї сторінки. Це не погіршить безпеку, але вирішить іншу проблему.
Адже я навіть не прошу елементарних речей типу зберігання даних форми якщо людина невірно ввела каптчю
Субота, 00:20 21.02.2009
Природня для даного алгоритму (й для більшості інших алгоритмів капч) - оновлення капчі при перезавантаженні сторінки з капчою.
А юзабіліті, що зменшує безпеку - це шкідливе юзабіліті. І ним я можу пожертвувати за для безпеки .
Як я писав раніше (п.2), в мене є ідея, що кардинально вирішить дану проблему. І при цьому без змін в алгоритмі самої капчі.
Будь-які ускладення алгоритму можуть призвести до проблем з безпекою. Тому я і використовую простий, але достатньо ефективний алгоритм. Обмеження в часі (та без прив’язки до сторінок) призначено для протидії напівавтоматизованому методу обхода капч, про який я розповідав в MoBiC.
Якщо реалізувати прив’язку до сторінок, то окрім того, що ускладниться механізм роботи з сесіями (треба буде пам’ятати значення капч для всіх відкритих кожним користувачем сторінок в рамках поточних сесій), також стане можлива атака з використанням напівавтоматизованого метода обходу на різні сторінки сайта. Тобто на відміну від класичної атаки з даним методом на одну сторінку, спам буде розсилатися на різні сторінки. Ось тому й я не роблю подібних прив’язок і використовую перевірений алгоритм.
Субота, 23:49 11.04.2009
Виклав дане відео в себе на сайті.