Vlákno názorů k článku Bezpečné přihlašování uživatelů od M.L. - Pekny, ale pokud je "utocnik" v pozici ze...
-
Pekny, ale pokud je "utocnik" v pozici ze muze data odchytavat, tak musime pocitat s tim ze je muze i modifikovat (man-in-the-middle), treba tim ze ma pod kontrolou router nebo proxy server. Pak mu staci upravit prenaseny Javascript a heslo si s jeho pomoci bud nekam ulit, nebo nechat v extra hlavicce poslat nezasifrovane, nebo tak neco.
Podobny problem je v okamziku kdy se prihlasovaci formular nachazi na nezabezpecene strance, ackoliv jeho odeslani vede nekam na https:// adresu. Tak je to treba pri prihlasovani do Seznamu z jeho homepage. Kdyz bude "utocnik" po tech heslech opravdu touzit, tak proste cestou ke klientovi tuhle nezabezpecenou stranku upravi tak aby se formular odesilal nekam na jeho server.
Pravda, je to o neco slozitejsi nez pouhe poslouchani pomoci snifferu, ale zase ne o moc.
Shrnuti: neni SSL od zacatku do konce => neni bezpecnost. -
Bilbo (neregistrovaný)Precejen pustit sniffer je nekdy jednodussi (napr. pokud je na siti hub a ja jsem na spravnem miste) nez provoz modifikovat (pokud mam pristup rovnou na router, neni co resit, ale pokud jsem jen na stejnem segmentu site .. )
Pustit sniffer zvladne i kdejaky script kiddie ze zakladni skoly, dat tam proxy co bude modikfikovat nejaky konkretni javascript uz treba ne ...
ČLÁNKY DO MAILU