К админам!

Murchik пишет:

Что спасает, так это что такая логика часто кодится во фронтенде, поэтому достаточно выключить JS, и стандарты безопасности можно опять определять самому.

Обычно в JS кодится не только эта логика ... )
Так что просто выключить его не получится, а ковыряться в коде чужих страниц ради этого - сомнительное удовольствие.

Adx, жизнь — боль.

Когда все сложно можно вручную отредактировать сгенерированный пароль через `pass edit example.com/murchik`, что в моем случае открывает vim c паролем, туда добавляются требуемые символы, или что сайт требует (не всегда еще понятно что конкретно не так, надо пробовать разные варианты), пароль сохраняется, и попадает обратно в браузер.

Murchik пишет:

Что спасает, так это что такая логика часто кодится во фронтенде

Честно говоря сомнительно, обычно всё-таки стандартные бекенд-модули авторизации за это ответственны.

Требования к сложному паролю на самом деле обычно абсурдны, чаще они снижают безопасность, а не повышают. Сложные пароли нужны только против атак, когда к злоумышленнику каким-то образом попадают зашифрованные пароли пользователей, и он уже у себя на машине их пытается расшифровать. Тогда можно проверять миллиарды вариантов, единственная защита – это по-настоящему сложный пароль. Но это редкая история. А когда надо подбирать пароль к сетевому сервису, это уже не работает. Невозможно сделать миллион попыток, никто не будет пытаться делать, обычно модули авторизации такое должны пресекать, банить адрес за большое количество попыток, вставлять капчи и т.п.

Я когда-то смотрел ssh-логи своих серверов, там были постоянные подключения от ботов, но ни разу не видел в логах, чтобы были настойчивые попытки подобрать пароль, хотя бы на несколько десятков вариантов.

С другой стороны, слишком сложный пароль сложно запомнить. Из-за этого велик соблазн везде использовать один пароль, его приходится записывать куда-то, где-то сохранять – в браузере, в файлах, просто на бумажке, и вот здесь как раз возможны атаки, я думаю, что чаще всего именно так доступ получают.

В общем в 99% случаев особо сложные пароли не нужны. Надо только пресекать слишком простые пароли. Во всём нужна мера.

Тарантино пишет:

Требования к сложному паролю на самом деле обычно абсурдны

Мне тоже так кажется. Во-первых, мне сама проблема представляется надуманной, хотя я понимаю, что это чисто мой личный опыт. Хотя в Интернете я с начала 90-х и до начала 2000-х даже отвечал за сайты на мехмате (в том числе за DNS-зону math.msu.su), ни разу мои пароли никто не взламывал. (Хотя классические протоколы Интернета, такие как FTP или SMTP, были абсолютно не защищены, и какой-то момент это всё-таки вышло боком, но со взломом паролей это не было связано.) Еще — я вообще никогда не сталкивался с вирусами, хотя можно отметить, что я никогда не пользовался MS Windows — работал на разных видах Unix'ов, довольно много в свое время на VAX VMS (и в глобальной сети DECnet, которая в 80-х годах была гораздо мощнее и популярнее Интернета; но фирма DEC, самая мощная в компьютерном мире, просуществовала лишь до конца 90-х; сейчас она называется Hewlett Packard).

Кстати, в VAX VMS система защиты была просто параноидальная, я всё это сейчас уже плохо помню (как дурной сон); если в классическом Unix'е у файлов всего 10 битов доступа (чтение, запись, выполнение для собственника, группы, всего мира + бит s, позволяющий получать конкретной программе права суперпользователя), то в VAX VMS было что-то около 15 вариантов доступа. Я, к счастью, в основном был простым пользователем, и мне не пришлось изучать всю эту "науку". Но в результате админы (за границей) плохо в этом разбирались, что привело в конце-концов к тому, что мехмат попал в чёрный список. Было это так: где-то во второй половине 80-х и начале 90-х очень популярными стали MUD-games (Multi-User Dungeon), причем эта игра была чисто текстовая (ты можешь спросить — что впереди, что справа, получить в ответ текстовое описание, пройти вперед, сделать какие-то действия и т.п.). Играют люди не только с разных компьютеров, но и из разных стран по всему миру. Сам я никогда в это не играл и плохо представляю правила, но факт, что игра была очень привлекательна и буквально свела с ума многих студентов: они забывали об учебе и обо всё остальном, десятки часов сидели в дисплейных классах, потом проваливали экзамены и т.п. Админы мехмата (я тогда еще им не был) закрывали доступ к компьютерам VAX, на которых эти игры запускались (десятки, сотни), но всё равно можно было зайти на компьютер в другой стране и с него уже заходить на игровые компьютеры. Для этого надо было взломать там какой-нибудь хваленый VAX (теоретически максимально надежный, на таких серверах в то время строились все банковские системы, системы управления железными дорогами, электростанциями и пр.). Приходит письмо на мехмат: ваши студенты заблокировали работу библиотеки в Оксфорде, потому что число пользователей компьютера VAX в библиотеке ограничено и никто из оксфордских пользователей не может в него войти, поскольку на нем непрерывно обитают ваши студенты. Выясняется, что, чем мощнее выстроена защита, тем сложнее ее изучить и правильно ей пользоваться и тем больше в ней в остается дыр. И нет никаких способов с этим бороться, кроме как полностью закрыть выход в глобальную сеть (а кто помнит устройство DECnet, тот знает, что этим она принципиально отличается от Интернет, каждый компьютер в ней хранит в себе список из десятков или даже сотен тысяч узлов сети, и логически нет никакой разницы, допустим, работаешь ли ты с файлами на своем компьютере или на удаленном — в имя файла входит и имя узла). В 80-х никто не озабочивался firewall и прочими сетевыми защитами (правда, здесь я могу ошибаться, меня тогда вопросы безопасности совершенно не волновали; а поскольку я в конце 80-х и начале 90-х много занимался сетевыми драйверами, в частности, писал их для наших самодельных карт для локальных сетей, работающих по нами придуманному протоколу канального уровня с детерминированным доступом (в отличие от дурацкого Ethernet), то для меня тогда главной целью было, чтобы локальная сеть хоть как-то заработала (реализовать над ней IPX/SPX, NetBios, локальные сети для PC с MS DOS — NetwareLight, LANtastic, Microsoft NetManager (? не вспомню точно названия) и т.п.).

Тарантино пишет:

Сложные пароли нужны только против атак, когда к злоумышленнику каким-то образом попадают зашифрованные пароли пользователей, и он уже у себя на машине их пытается расшифровать. Тогда можно проверять миллиарды вариантов, единственная защита – это по-настоящему сложный пароль. Но это редкая история.

С учётом постоянных утечек баз со всевозможных сайтов - не такая уж и редкая.
Поскольку никто в здравом уме не будет хранить пароли в базе в открытом виде, суть расшифровки сводится к подбору хешей паролей пользователей, которые утекли в сеть десятками с различных сайтов.
И, разумеется, наличие там цифры или заглавной буквы в пароле никак на брутфорс не повлияют.

bregalad, как всегда очень увлекательная история! Вы не думали о том, чтобы записать больше подобных историй и собрать их в книгу?

Тарантино, по моим наблюдениям наиболее широко внедренный стандарт — разгильдяйство.

Adx, те же (условно) люди, что придумывают правила безопасности паролей, пишут и логику обработки и хранения, так что можно ожидать и открытые пароли, и древние алгоритмы, уязвимые к атакам через радужные таблицы, и пресные хеши (без соли). Прочность цепи равна прочности самого слабого звена. А менять такие вещи в развитых проектах может быть дорого и никому не интересно. Так что надо следить за своей парольной гигиеной, но и не забывать, что это только часть картины.

Большинство пользователей имеют очень смутные мифологизированные представления о том как все это работает, поэтому хорошо, что эти темы периодически всплывают.

Я, в целом, легко готов поддержать вот эти IT-дискуссии, но ИМХО всё-таки здесь не то место. Если лингвистические вопросы полезны и доступны всем, я думаю, что ФК общественности тоже не мешает периодически окунаться в эти темы, то какие-то дебри IT уже явно не для всех, всем не нужно туда лезть. Поэтому я обычно продвинутые ИТ темы не поддерживаю.

Хотя среди мужской части взрослых любителей и фанатов много около ИТ-шного народа (по моим наблюдениям, там или IT и родственный IT народ, или гей-тусовка – это про подсевших на ФК во взрослом возрасте, а не кого привели в детстве, как тренеров, "папашки" тоже другая история), основное большинство ФК народа от IT дальше среднего человека. А тут ещё продвинутые темы.

Но всё-таки один небольшой комментарий дам. Сразу говорю, что далёкому от ИТ народу вникать в это не надо, разовый оффтопик с моей стороны:

bregalad пишет:

Кстати, в VAX VMS система защиты была просто параноидальная, я всё это сейчас уже плохо помню (как дурной сон); если в классическом Unix'е у файлов всего 10 битов доступа (чтение, запись, выполнение для собственника, группы, всего мира + бит s, позволяющий получать конкретной программе права суперпользователя), то в VAX VMS было что-то около 15 вариантов доступа

На линуксах сейчас уже не так, там значительно более сложная система прав. Вместо просто root-пользователя и setuid флагов, там есть такое понятие, как capabilities. Это специальные права на какие-то действия, которые можно выставить как на процесс, так и на исполняемый файл, по аналогии с setuid. Десятки этих capability существует. В линуксах для этого есть утилиты setcap/getcap, для примера можно запустить команду, посмотреть специальные права, если они есть
> getcap /bin/ping
/bin/ping cap_net_raw=ep

при этом у /bin/ping нет s-флага, хотя для ping нужны специальные права. Раньше для этого выставляли s-флаг. И эти capabilities не видны при обычной ls-команде, в принципе можно выставить какие-то флаги на команду, которые позволят делать всякие пакости, и вот это не будет заметно.

Нужны же эти capabilities для того, чтобы тоньше настраивать права, не давать сразу все права суперпользователя, а выставлять только то, что надо, иногда нужно совсем немного. В общем полезно про это знать и изучить, для тех, кто серьёзно работает с линуксами.

ps: это именно линукс-специфика. Насколько я знаю, на юниксах BSD семейства и на MacOS они не поддерживаются, там только брутальные права суперпользоваеля
ps2: ещё раз прошу прощения за вот погружение в эти дебри на ФК-форуме, ухожу, ухожу

Тарантино пишет:

На линуксах сейчас уже не так, там значительно более сложная система прав.

Я, конечно, знаю про всё это, но сам ей не пользуюсь. На мехмате вообще другой подход к безопасности (я к этому непричастен): все компьютеры в дисплейных классах бездисковые, загружаются по сети, сетевой диск с операционной системой монтируется только на чтение и разрушить систему (внедрить вирусы в программы и т.п.) невозможно. Пользовательские файлы тоже на сетевом сервере, и вы можете входить в сеть и работать со своими файлами на любом компьютере из около сотни в дисплейных классах (без разницы, на каком), также у пользователей есть квоты на общий объем их файлов; и ваши файлы недоступны для других пользователей (если только вы специально не измените права доступа). Насколько я представляю, особых проблем с безопасностью не возникает (да и всё это как-то отошло на второй план, когда у всех есть свои компьютеры-ноутбуки).

Я сам не особо люблю продвинутые системы безопасности, наверно, просто потому, что никогда не сталкивался с их необходимостью. Когда они есть, то больше мешают. Пример: наша медицинская программа (связанная с томографией) с помощью робота записывает CD или DVD-диск с данными исследований пациента (при этом дополнительно на диске печатается картинка, данные пациента, дата исследования, логотип учреждения и софта и т.п.). Для изготовления CD-диска на компьютер робота по его протоколу пересылаются по сети несколько сотен (если не тысяч) файлов. Но антивирус Касперского (который почему-то был очень популярен и в Европе), отслеживая пересылку по сети такого количества файлов, считает это подозрительной активностью и автоматически убивает программу, которая это делает.

Тарантино пишет:

На линуксах сейчас уже не так, там значительно более сложная система прав. Вместо просто root-пользователя и setuid флагов, там есть такое понятие, как capabilities. Это специальные права на какие-то действия, которые можно выставить как на процесс, так и на исполняемый файл, по аналогии с setuid. Десятки этих capability существует. В линуксах для этого есть утилиты setcap/getcap, для примера можно запустить команду, посмотреть специальные права, если они есть > getcap /bin/ping /bin/ping cap_net_raw=ep

Я в свое время писал сетевой монитор (графический на Qt), заодно нужно было самому написать функцию ping, чтобы вставить ее в проект (не используя системную утилиту ping). Точно всё уже не помню, там используется протокол ICMP, почему-то открытие сокета как дейтаграммного не проходило, а для открытия RAW-сокета необходимы привелегии:

    //??? if ((s = socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP)) < 0)
    if ((s = socket(AF_INET, SOCK_RAW, IPPROTO_ICMP)) < 0)
    {
        if (print)
            cerr << "Needs to run as superuser!" << endl;
        return -1; /* Needs to run as superuser! */
    }


Но бит s, слава богу, не нужен, вот Makefile маленькой тестовой программы:

CC = g++ $(CFAGS)
CFLAGS =

pingmon: pingmon.cpp Ping.h Ping.o
        $(CC) -o pingmon pingmon.cpp Ping.o
        @setcap cap_net_raw+ep pingmon; \
        if [ "$$?" -ne "0" ]; then \
            rm -f pingmon; \
            echo "Use the \"sudo make\" command!"; \
        fi;

Ping.o: Ping.cpp Ping.h
        $(CC) -c Ping.cpp

clean:
        rm -f *.o pingmon

Команда Linux'а, выделенная красным, дает программе необходимые привилегии без использования бита s.

Тарантино пишет:

Хотя среди мужской части взрослых любителей и фанатов много около ИТ-шного народа (по моим наблюдениям, там или IT и родственный IT народ, или гей-тусовка

Правда?
А мне всё время кажется, что разговоры про гей-тусовку — это какие-то ужастики, типа рассуждений про конец света или рептилоидов, в общем, про что-то несуществующее, но очень возбуждающее некоторых мам из ФК-сообщества.

Murchik пишет:

Вы не думали о том, чтобы записать больше подобных историй и собрать их в книгу?

У меня всё больше истории, о которых даже вспоминать стыдно.

bregalad пишет:

У меня всё больше истории, о которых даже вспоминать стыдно.

Так именно такое и возбуждает интерес обывателя. Вы могли бы стать миллионером. )))

Тарантино пишет:

Хотя среди мужской части взрослых любителей и фанатов много около ИТ-шного народа

Это что за дискриминация???? Что за стереотипы?
Вообще-то в ит-сфере женщин много. И среди взрослых любителей фк тоже есть.

Кстати, первым программистом в истории стала... женщина.

bregalad пишет:

А мне всё время кажется, что разговоры про гей-тусовку — это какие-то ужастики, типа рассуждений про конец света или рептилоидов, в общем, про что-то несуществующее, но очень возбуждающее некоторых мам из ФК-сообщества.

Одно другому не мешает

IceandFlame пишет:

Это что за дискриминация???? Что за стереотипы? Вообще-то в ит-сфере женщин много.

Процент женщин среди программистов небольшой, что, впрочем, ни разу не означает, что как специалисты они хуже.
По моим оценкам ) процентов 10-15 максимум.
Вот среди аналитиков их не меньше 50%, но тут беседа идёт о чисто технических деталях.

IceandFlame пишет:

первым программистом в истории стала... женщина

кисо! праграмиравать не савсем то же самое што манепулировать!

Почему на форуме нет кнопок для жалоб на антироссийские высказывания некоторых участников? И как тогда подавать эти жалобы?

Relyut
+

---

Audaces fortuna juvat (Вергилий)

Relyut пишет:

Почему на форуме нет кнопок для жалоб на антироссийские высказывания некоторых участников? И как тогда подавать эти жалобы?

Я попробовал обратиться - у меня вот что из этого вышло (читайте ниже).
П.с. а я не оскорбил участника, а лишь дал ему рекомендации обратиться к специалисту, соответствующему, как мне показалось, его состоянию.

Kartoshka пишет:

Вы наконец перенесли войну на себя. Идите на войну, убивайте друг друга на здоровье, надеюсь, вы оставите независимые государства в покое. Пригожин получает медаль и много поцелуев Наслаждайтесь войной. Это единственный способ связи России с миром. ,вам вообще все равно кто вами будет править,вам просто важно чтобы вами правили. Ура ура!!!!!

mihanik.777 пишет:

Уважаемые администраторы форума! Считаете ли вы подобные высказывания допустимыми на форуме?

Murchik пишет:

mihanik.777, на грани, но формально прямых оскорблений нет. Могу только попросить сбавить эмоции. А вот то что вы написали — прямое оскорбление, отсюда удаление сообщения и предупреждение.

mihanik.777 пишет:

Вас не смущает прямой призыв к убийствам, к войне?

Kartoshka пишет:

Идите на войну, убивайте друг друга ... Наслаждайтесь войной. Это единственный способ связи России с миром. ,вам вообще все равно кто вами будет править,вам просто важно чтобы вами правили. Ура ура!!!!!

Murchik пишет:

mihanik.777, мое прочтение этого пассажа примерно такое: «делайте в своей стране что хотите». Да, мне лично не нравится что дискуссия периодически скатывается до подобного уровня, но высказывания аналогичного уровня с другой стороны я точно так же не трогал. Тут пожелание такое: хотите видеть дискуссию соответствующего уровня — подавайте личный пример.

Relyut
Теоретически лично для каждого проблема должна решаться тем, что политика должна (была) быть ограничена теоретически одной темой "О Мире" (практически пусть несколькими темами).
И для того чтобы каждый желающий мог избавить себя от этих разговоров, в этих темах сделали кнопку "игнорировать тему".
На мой взгляд, схема принципиально работает. За некоторым(и) исключением, пожалуй. Но это исключение тоже можно решить "пожертвовав" еще одной очередной (пока что) темой Костомарова.