ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Single Sign On with Nginx



On 26.02.2010 13:45, Andrew Kopeyko wrote:

сообщение "Доступ запрещен" может вводить в валидного пользователя
заблуждение, лучшим вариантом наверное будет ответить, что "Такая
комбинация логина и пароля не найдена. Проверь данные и попробуй еще."

Необученного плюс невнимательного - ещё как вводит.

вводит, потому что сайт ему будет выдавать недостоверную информацию,
говоря что "Доступ запрещен", хотя на самом деле причина в другом.

выдавать на фазе аутентификации пользователя ошибку
уровня авторизации - это, мягко говоря, некрасиво.

сообщение Skype про ошибку идентификации - это просто кривой перевод,
в оригинале сообщение об ошибке аутентификации не содержит этой ошибки и не раскрывает информации про имя пользователя: одинаковое сообщение "Signing in failed. Please double-check your Skype Name and re-enter your password." выдается как на существующее так и на несуществующее
имя пользователя при неверном пароле.

или сообщение при ошибке входа в Skype:
https://secure.skype.com/account/intl/ru/login - "Ошибка
идентификации. Проверьте правильность логина и введите ваш пароль еще
раз.". ссылка "Забыли свой пароль?" сразу под кнопкой "Войти в Skype"
и сама форма входа - очень хорошо продуманы.

здесь валидному пользователю дается намек, что он наверное ошибся в
логине или пароле, и поэтому не удается войти, вместо того чтобы ему
сразу же начинать звонить/писать в support с вопросами "почему меня
заблокировали, разблокируйте пожалуйста". а вот для злоумышленника
раскрытия информации тут нет, он не узнает для себя ничего нового.

Вот!
Такой конструкцией skype снимает нагрузку со своего саппорта.

и что? разве это плохо разгрузить support от никому не нужной работы?
тем более, что не у всех сайтов есть такой support как у Skype,
и скорее всего сайт просто потеряет пользователя, или пользователь
сделает себе новую учетную запись, а старая так и останется висеть.

зачем создавать себе и пользователям проблемы на пустом месте,
если можно их не создавать, и при этом не раскрывать никакой
дополнительной информации для злоумышленника? достаточно редко
так бывает, что можно увеличить usability, не уменьшая security.

сообщить о том, что "Доступ запрещен" после того как пользователь
ввел валидный емейл для восстановления пароля - формально это есть
раскрытие информации, но вот злоумышленнику оно дает очень мало
преимуществ. логин пользователя в этом случае не раскрывается,
а только сообщается о самом факте блокировки учетной записи.

Всё было бы так, если бы email так широко не применялся в качестве
идентификатора пользователя...

если говорим про Google, то подобрать пароль перебором
достаточно сложно - потом включается CAPTCHA и делать
такой перебор вручную злоумышленнику быстро надоест.

в общем случае раскрытие логина пользователя не упростит
подбор пароля, потому что нормальный пароль никак не связан
с логином. и при достаточной сложности пароля подобрать его
со скоростью один пароль в секунду - практически невозможно.

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.