Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Single Sign On with Nginx

To: nginx-ru@xxxxxxxxx
Subject: Re: Single Sign On with Nginx
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Fri, 26 Feb 2010 20:02:38 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1267207359; bh=cTJu/Aj6mPiJM8SzjDgQ4ikhmwQlYPuSvXd8Fjql9ls=; h=Message-ID:Date:From:User-Agent:MIME-Version:To:Subject: References:In-Reply-To:Content-Type:Content-Transfer-Encoding; b=m svUQsAF4do45bN+Mgs7o2X1NCzjtBq/a5JYDMQklDOQoEalhp5ph1v++wRqlJa3nBmY ZNSYgXQ5p4tzcXJfC5u5l2qf3eSSCDW2rsRC6oVEa0a1PI5Jkd/KJsFNU38qANsvd2Q fTaUwrUfN6k7RyxrF6kwOuJprZUOOX8J97f0=
In-reply-to: <20100226142440.T24085@xxxxxxxxxxxxx>
References: <bc79dd601002231132g36946d68g5f6abc0e6aefe70f@xxxxxxxxxxxxxx> <f4079bd81002231349g76f776a8y4f44c44af072f51b@xxxxxxxxxxxxxx> <bc79dd601002231531peaea8c8q5c9dd2c37f0fdc03@xxxxxxxxxxxxxx> <d4574cb31002231618h20d867eo88679514713805e8@xxxxxxxxxxxxxx> <bc79dd601002232248g493bb5ah7363436fbd8254fe@xxxxxxxxxxxxxx> <d4574cb31002240130k272532cr73ef4f491df0e2ab@xxxxxxxxxxxxxx> <bc79dd601002250832w5e21c3a1qd36a31c565d58739@xxxxxxxxxxxxxx> <4B87724C.6000407@xxxxxxxx> <bc79dd601002260022q238c6eeey27f8ff2878890c31@xxxxxxxxxxxxxx> <4B879633.3010900@xxxxxxxx> <4B87AD8D.3050800@xxxxxxxxx> <20100226142440.T24085@xxxxxxxxxxxxx>

On 26.02.2010 13:45, Andrew Kopeyko wrote:

сообщение "Доступ запрещен" может вводить в валидного пользователя
заблуждение, лучшим вариантом наверное будет ответить, что "Такая
комбинация логина и пароля не найдена. Проверь данные и попробуй еще."


Необученного плюс невнимательного - ещё как вводит.


вводит, потому что сайт ему будет выдавать недостоверную информацию,
говоря что "Доступ запрещен", хотя на самом деле причина в другом.

выдавать на фазе аутентификации пользователя ошибку
уровня авторизации - это, мягко говоря, некрасиво.

сообщение Skype про ошибку идентификации - это просто кривой перевод,

в оригинале сообщение об ошибке аутентификации не содержит этой ошибки ине раскрывает информации про имя пользователя: одинаковое сообщение"Signing in failed. Please double-check your Skype Name and re-enteryour password." выдается как на существующее так и на несуществующее

имя пользователя при неверном пароле.

или сообщение при ошибке входа в Skype:
https://secure.skype.com/account/intl/ru/login - "Ошибка
идентификации. Проверьте правильность логина и введите ваш пароль еще
раз.". ссылка "Забыли свой пароль?" сразу под кнопкой "Войти в Skype"
и сама форма входа - очень хорошо продуманы.

здесь валидному пользователю дается намек, что он наверное ошибся в
логине или пароле, и поэтому не удается войти, вместо того чтобы ему
сразу же начинать звонить/писать в support с вопросами "почему меня
заблокировали, разблокируйте пожалуйста". а вот для злоумышленника
раскрытия информации тут нет, он не узнает для себя ничего нового.


Вот!
Такой конструкцией skype снимает нагрузку со своего саппорта.


и что? разве это плохо разгрузить support от никому не нужной работы?
тем более, что не у всех сайтов есть такой support как у Skype,
и скорее всего сайт просто потеряет пользователя, или пользователь
сделает себе новую учетную запись, а старая так и останется висеть.

зачем создавать себе и пользователям проблемы на пустом месте,
если можно их не создавать, и при этом не раскрывать никакой
дополнительной информации для злоумышленника? достаточно редко
так бывает, что можно увеличить usability, не уменьшая security.

сообщить о том, что "Доступ запрещен" после того как пользователь
ввел валидный емейл для восстановления пароля - формально это есть
раскрытие информации, но вот злоумышленнику оно дает очень мало
преимуществ. логин пользователя в этом случае не раскрывается,
а только сообщается о самом факте блокировки учетной записи.


Всё было бы так, если бы email так широко не применялся в качестве
идентификатора пользователя...


если говорим про Google, то подобрать пароль перебором
достаточно сложно - потом включается CAPTCHA и делать
такой перебор вручную злоумышленнику быстро надоест.

в общем случае раскрытие логина пользователя не упростит
подбор пароля, потому что нормальный пароль никак не связан
с логином. и при достаточной сложности пароля подобрать его
со скоростью один пароль в секунду - практически невозможно.

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Single Sign On with Nginx
  - From: Alex L. Demidov

References:
- Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: SaveFrom.net
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Daniel Podolsky
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Daniel Podolsky
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Andrew Kopeyko
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Andrew Kopeyko
- Re: Single Sign On with Nginx
  - From: Gena Makhomed
- Re: Single Sign On with Nginx
  - From: Andrew Kopeyko

Prev by Date: Re: Single Sign On with Nginx
Next by Date: Re: Single Sign On with Nginx
Previous by thread: Re: Single Sign On with Nginx
Next by thread: Re: Single Sign On with Nginx
Index(es):
- Date
- Thread