Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Ru.Board » Общие вопросы по Ru.Board » Вход на форум по SSL

Модерирует : batva, DimoN

articlebot (05-02-2017 13:50): А SSL будет?  Версия для печати • ПодписатьсяДобавить в закладки

   

nns2000



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Думаю, имеет смысл предоставить возможность входа на форум по SSL,
по крайней мере, чтобы не светить пароль в plain-text.

Всего записей: 9 | Зарегистр. 29-01-2002 | Отправлено: 11:31 29-01-2002
DimoN



Tech administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а держать форум в двух местах имеет смысл?
 
Добавлено
имхо это уже параноя

----------
Мы Баним с улыбкой :) ™

Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 02:59 31-01-2002
Diman



Чайник без крышки
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Думаю, имеет смысл предоставить возможность входа на форум по SSL, по крайней мере, чтобы не светить пароль в plain-text.

Присоединяюсь. Во всяком случае, стоит обдумать.
Хотя, форум для авторизации использует куки, которые тупо голым текстом передаются при каждом запросе, а для авторизации через SSL, с последующим выходом из защищенного режима, надо бы через идентификатор сессии, тогда это будет более безопасно. А если все время сидеть в защищенном режиме, ИЕ будет матюгаться насчет Insecure Items. Короче, потребуется доработка системы авторизации. Охота ли хозяевам этим заниматься...
 
DimoN

Цитата:
а держать форум в двух местах имеет смысл?  

Звиняюсь, но ты немного неправ  Все прекрасно делается безо всяких двух мест. Есть два варианта -
1) оставить все как есть, SSL или нет - контент один и тот же. Но на паге неизбежно будут ссылки на сторонние сайты, при этом броузер будет ругаться (см. выше) Это не канает.
2) переработать систему авторизации. юзер в защищенном режиме сабмитит пароль и ему в куки дается не логин/пароль, а идентификатор сессии, который, опционально, действителен только с заданного IP, а угон его третьими лицами ничего не дает. Вот тогда будет (до определенной степени) безопасно, и уж точно безопаснее чем сейчас. После получения идентификатора происходит выход из защищенного режима через редирект в обычный режим. Такая схема (насколько я вижу) используется, например, на Hotmail.
Однако, реализовать это - огромный гимор, потребуется капитальная переделка.
3) кто знает еще вариант?
 
Скромнейшее ИМХО. Могу заблуждаться. Ответственности не несу.

Всего записей: 779 | Зарегистр. 27-09-2001 | Отправлено: 08:17 31-01-2002
Anna



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мне нужен совет \помощь по следующему вопросу:
 
Мой пров (вне СНГ) без сомнения следит - особенно если привлекли внимание чем-то (сканированием, хождением на определенные "плохие" сайты, итд). Уверена что логирует траффик определенных юзверей. Может не весь траффик, а выборочно по фильтрам каким-нибудь. Более того, определенные компетентные органы также уделяют внимание  прослушиванию траффика на сетке (слыхали про проэкт "кaрнив0р"?). Причем не только на английском - сделать перевод через програму-транслятор сейчас не сложно.  
 
К большинству под-форумов это вероятно не относится. Но в андеграунде и варезнике много таких тем, что пользователи могут сильно привлечь внимание (тем что они написали и отправили на форум).
 
Какие меры предосторожности по мнению администрации необходимы? Имеет ли смысл дать возможность соединения по ssl?

----------
http://www.againsttcpa.com/tcpa-faq-en.html
http://www.google-watch.org/gmail.html
ZoneAlarm - Spying for Years

Всего записей: 1116 | Зарегистр. 11-11-2002 | Отправлено: 19:01 12-01-2006
scales01



Corvus Albus Viridis
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anna

Цитата:
определенные компетентные органы также уделяют внимание  прослушиванию траффика на сетке (слыхали про проэкт "кaрнив0р"?). Причем не только на английском - сделать перевод через програму-транслятор сейчас не сложно.

Не думаю, что вопросы, обсуждаемые здесь, даже в "закрытых" разделах, настолько интересуют "компетентные органы". Их интересы лежат в других областях (в основном - террор и безопасность критических инфраструктур), и ресурсы направлены именно туда. Пока здесь не начнут обсуждать способы совершения терактов, саботажа деятельности банковских и коммуникационных систем и планировать государственный переворот, вряд ли нужно опасаться "органов".

----------

Не терпится стать мембером?

Всего записей: 2969 | Зарегистр. 18-06-2005 | Отправлено: 19:28 12-01-2006
Anna



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
scales01
Везде по-разному. Где-то так как ты написал.  А где-то совершенно наоборот. Есть деньги и резурсы ловить, судить и штрафовать\сажать за такие вещи как нарушение копирайта (варезничество), не говоря уже про всякий хакинг и кардинг.

----------
http://www.againsttcpa.com/tcpa-faq-en.html
http://www.google-watch.org/gmail.html
ZoneAlarm - Spying for Years

Всего записей: 1116 | Зарегистр. 11-11-2002 | Отправлено: 22:24 12-01-2006
scales01



Corvus Albus Viridis
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anna

Цитата:
ловить, судить и штрафовать\сажать за такие вещи как нарушение копирайта (варезничество),  

Этим занимаются не спецслужбы, а правоохранительные органы. У них ресурсов обычно поменьше, равно как и возможностей заниматься тем, что происходит вне их страны, кроме того они сами вынуждены действовать "законными" методами через суды, провайдеров, логи и т.д.

Цитата:
не говоря уже про всякий хакинг и кардинг.  

А этого здесь практически нет, разве что вот...
 
Добавлено:
Хотя, если серьёзно... всё может измениться, гарантировать ничего нельзя.

----------

Не терпится стать мембером?

Всего записей: 2969 | Зарегистр. 18-06-2005 | Отправлено: 23:17 12-01-2006 | Исправлено: scales01, 23:21 12-01-2006
Advanced_Guest



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С другой стороны, допустим провайдеры логируют инфу.
допустим ты воспользуешься SSL.  
 
и тогда в логе будет всё равно видно дату и адрес куда ты конектился.
 
Осталось только узнать твой ник на форуме, и дальше  - все твои посты известны.

----------
The Abyss - UO, LA2, Ботва, BSFG

Всего записей: 2446 | Зарегистр. 14-04-2002 | Отправлено: 22:44 15-01-2006
xntx



хнотик-багоискатель
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Advanced_Guest

Цитата:
Осталось только узнать твой ник на форуме, и дальше  - все твои посты известны.

а как доказать что ник именно твой? и что писал им вообще ты...

----------
Hello world!

Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 21:43 16-01-2006
batva



crazy administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Advanced_Guest

Цитата:
и тогда в логе будет всё равно видно дату и адрес куда ты конектился.  

 
Там не будет конкретных линков, а только хост.
То есть узнать куда ты ходил, и что постил не представляется возможным.
То же самое и с ПМ..
 

Цитата:
Осталось только узнать твой ник на форуме, и дальше  - все твои посты известны.

интересно, каким образом можно узнать ник.  
 
 
 

Всего записей: 12593 | Зарегистр. 07-01-2001 | Отправлено: 23:13 16-01-2006
Advanced_Guest



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
batva

Цитата:
интересно, каким образом можно узнать ник.     

если везде использовать SSL, или на каждом форуме новый ник - от да, сложно.
 
Иначе такой пример:
(правда "улики" косвенные, не думаю что они будут приниматьяс в суде, но тобой могут заинтерисоваться )  
 
логируеться что ты заходил на какой то сайт по HTTP без шифрования => твой ник там известен)  
 
Дальше, смотриться.. на рубоарде есть такой же ник , и он постит только когда твой комп бывает онлайн и только когда ты запрашиваешь сайт рубоарда.  
 
Когда же ты не онлайн - то он молчит.
 
Как доказательство для суда - конечно не подходит. А вот как "промежуточную улику" - почему бы и нет ?
 
Осталось только доказать что ты на форуме это ты в реале. (а вот тут уже по другому.)
Как простейший прмер - послать тебе ЛП, со ссылкой со спец кодом который никто не знает, и попросить тебя зайти туда. Одновремённо логировать на на твоём провайдере что ты запрашивал данный URL, и на хостере что только ТЫ запрашивал этот сайт).
 
(немного утопично , но всё же.)

----------
The Abyss - UO, LA2, Ботва, BSFG

Всего записей: 2446 | Зарегистр. 14-04-2002 | Отправлено: 16:20 17-01-2006
   

Компьютерный форум Ru.Board » Ru.Board » Общие вопросы по Ru.Board » Вход на форум по SSL
articlebot (05-02-2017 13:50): А SSL будет?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru