Анализ безопасности Web 2.0 проектов. Часть 1. Пароли

Сегодня набросал краткое исследование по принципам работы работы Web 2.0 проектов с паролями. Исследование довольно простое и призвано показать лишь наиболее очевидные огрехи выявляемые не глубоким анализом безопасности, а теми операциями которые выполняет каждый пользователь. В общем-то, всё что здесь написано применимо для любой веб системы, я затрагиваю эту тему дабы подчеркнуть ещё раз ей важность.

Доступно по ссылке в виде PDF Анализ безопасности Web 2.0 проектов. Часть 1. Пароли (PDF)

About This Author

  • http://restudio.ru Konstantin

    Ну ведь совсем не обязательно, что пароль храниться в открытом виде, если пресылается на мэил при восстановление =)

  • http://ivan.begtin.name ivbeg

    Тем не менее практически в 100% это так или же пароль хранится с использованием reversible encryption, что не мешает создателям системы его узнать. Как бы то ни было возможность узнать имеющийся пароль — это всегда снижение безопасности.

  • http://dikiy.com dik

    Пока вы входите в свои блоги без https — я буду смотреть на все подобные статьи не иначе как на пустопорожний бред. Начните «безопастность» с себя. Почему то у всех умников рассуждающих о ssl вход в админку собственного блога обходится без неё.

  • http://ivan.begtin.name ivbeg

    Мой блог — это моя вотчина. Когда мне в нём потребуется добавление SSL я, несомненно, это сделаю. Что касается Вас, то пишите по существу если у Вас есть конкретные замечания. До этого момента я могу равнозначно называть «бредом» Ваши ссылки на «умников» и «пустопоржность».

  • http://dikiy.com dik

    По данной аналогии описываемые вами сервися — вотчина их обладателей. Если уж вы рассказываете о безопасности — покажите на своём примере. На http://www.zakupki.gov.ru тоже нет ssl ? Не беда — потребуется, сделаете.

  • http://ivan.begtin.name ivbeg

    Вы что-то привязались к SSL и ни слова конкретно про исследование. А аналогия здесь неуместна, поскольку в отличии от сервисов Web 2.0 на моём сайте авторизуюсь только я и сам несу все издержки за возможные удобства и неудобства , а Web 2.0 сервисы заточены на привлечение максимального числа пользователей.

    Аналогично про zakupki.gov.ru, этот сайт полностью находится в ведении МинЭкономРазвития, вы хотите узнать почему там нет SSL? Адресуйте им этот вопрос.

    Во всём остальном, я готов с Вами продолжать дискуссию если Вы перейдёте от безапеляционных утверждений к аргументированным возражениям или предложениям по существу.

  • Unatine

    Даже не знаю, то ли комментарии, то ли замечания..

    А пробовали предложить создателям сервисов реализовать например тот же самый SSL? На том же news2.ru есть ссылка на книгу предложений.

    И почему были выбраны именно эти проекты? Просто так и вижу, как злоумышленник сидит и старается перехватить траффик между моей машиной и тем же news2.ru, и узнает мой пароль. Или как Гугль вычитывает почту на предмет наличия сгенеренных паролей (которые, кстати, обычно меняют сразу же).

    P.S. какое отношение SOX имеет к данным проектам? так ведь можно еще десяток исошных стандартов сюда попробовать применить..

  • http://ivan.begtin.name ivbeg

    SSL, суть не панацея, а часть безопасного решения. Конечно, можно предложить разработчикам news2.ru его добавить, но у меня был интерес не улучшить один единственный news2.ru, а дать пищу для размышления и другим создателям подобных служб.

    В том что касается выбранных проектов, то я выбрал те которые были у меня на виду и наиболее популярные. Разумеется их гораздо больше, были бы добровольцы так можно хоть весь рунет проверить, вопрос надо ли? Цель не указать разработчикам сервисов что де они плохие, а показать что они могут исправить.

    Да применять то можно десятки стандартов, есть при этом рекомендации OWASP которые, на мой взгляд ,наиболее применимы для любой веб системы.

  • Unatine

    ИМХО, сомневаюсь что таким способом была дана пища для размышлений :) Но возможно ошибаюсь…

    Не сказал бы, что выбранные проекты популярны (возможно кроме news2.ru). habrahabr.ru? gallery.ru? на счет закладок даже не знаю, так как не пользуюсь нашими сервисами, но учитывая процесс запуска того же бобра, то думаю это еще цветочки :)

    Применять лучше то, что покрайне мере больше попадает под профиль сервиса, плюс какие-то общие… те же SAX, ISOшные стандарты, они все таки больше предназначены для корпораций и финансовых фирм. Согласитесь, что сомневаюсь что кто-то захочет аттестовывать тот же news2.ru по ISO 15408. А вот упомянутый OWASP на порядок лучше подходит. То есть его бы и стоило показать авторам проектов :)

  • Unatine

    P.S. а подписку на комментарии можно сделать? а то жутко не удобно… :)

  • http://ivan.begtin.name ivbeg

    Судя по отзывам коллег в коммунити Web 2.0 и на news2.ru пища появилась. Во всяком случае заинтересовcались многие.
    http://www.news2.ru/story/29714/
    http://community.livejournal.com/web2_0_ru/71241.html

    Про ISO 15408 соглашусь безоговорочно, он тут ненужен, что касается OWASP, так не собирать же мне их по одному и не показывать им guidelines из OWASP нос к носу:) Если у них заинтересованность появится то наладить общение/сотрудничество всегда возможно.

    А для комментариев есть RSS лента, http://ivan.begtin.name/2007/03/12/analiz-bezopasnosti-web-20-proektov-chast-1-paroli/feed/

    С подпиской на email, видимо, чего-то нарушилось, посмотрю.

  • Unatine

    Ну. Это не многие :)

    OWASP тогда лучше упомянуть в следующей части, со ссылкой на гайд, например :)

Яндекс.Метрика