ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Re[2]: [apache-talk] Basic_WWW_Authentification





On Thu, 28 Feb 2002, Eugene B. Berdnikov wrote:

> >
> > Вот пример механизма
> >  - автор spy.cgi идет (по http) на supersecret/.... и смотрит там Realm
> >  - и выдает, соответственно, такой же.
>
>  Мысль, конечно, интересная, хотя надо суметь заманить уже авторизованного
>  юзера на свою страничку, да потом подсунуть ему nph-скрипт, выдающий 401...
>  Хотя в принципе реализуемо.
>

Да НИЧЕГО не нужно. То есть ВООБЩЕ. Netscape и MS IE, если их однажды
/supersecret/ попросил авторизоваться будут выдвать ВСЕ пароли на /~someuser/
даже если тот ВООБЩЕ не запрашивает авторизацию ! Это я сглупил про realm'ы
все на самом деле куда хуже (или лучше - смотря с какой стороны смотреть :-)
Все просто: если Netscape не будет этого делать, то ему придется на каждую
защищенную страничку посылать два запроса (один - без пароли и после
получения отлупа - второй уже с паролем), что замедлит процесс просмотра и
заставит тупого клиента обратится к продукции конкурента. А что пароль, в
общем-то, "на деревню дедушке" высылается, когдя его о том совсем даже не
просят - всем наплевать. Конечно это не работает с links'ом каким-нибудь,
но много ли народу запускают links, чтобы на защищенный сайт зайти ?

>  А меня посетила такая мысль: через ptrace(2) во многих юниксах можно
>  получить все данные, которые передает клиент - для этого достаточно,
>  чтобы uid, под которым выполняются cgi-ные скипты, совпадал с uid'ами
>  апачевых дочек.
>
>  Так что это защита от "честных воров" получается? :)

Это ДРУГАЯ атака. И от нее тоже можно закрыться (например выключив ptrace
вообще). Но:
  1. Она сложнее реализуема...
  2. Она автоматически закрыта в случае использования suexec'а ...

=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



 




Copyright © Lexa Software, 1996-2009.