Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Авторизация

To: "Pavel V." <nginx-ru@xxxxxxxxx>
Subject: Re[2]: Авторизация
From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
Date: Thu, 23 Jan 2014 12:35:37 +0400
Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; s=main; i= postmaster@xxxxxxxxxxxxx; bh=bbo/iuBE3Ooog0UW3WAdrUDdDRw=; b=aGE 64AIoLgy5fDC/biLvvZcoOpKjTsbUD2I/9doC8aTW/SokBZiDYjbrEVbVAc3mUWi sEwToMsNKtVOcLwsZ/CTYfISsGDaNLviTbS6F7HZoAvb355s4YKjl301o9JtIQoC W0xfqNaCzWeDTPaky/H3DIg9o4ewJTSzAGuCiQsQ=
Domainkey-signature: a=rsa-sha1; c=nofws; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; q=dns; s= main; b=hMzhSE1QByX+XZu6hyAg51FVKmXtK3dT3t/RjNdLXnC02yXKBv17iGXj QVyp453M19rxxqUq7lX9PH8BkjvyR7sxIvLPUC3H60SJrdOts7l7HTePY0rpX5YQ JKjzb88ncJXHDorNEGzoJ64wjaBuDUXds51/f2mgKo+LXf/4EUc=
In-reply-to: <437911983.20140123152119@ngs.ru>
References: <88eec546842d3bee9a82e83857dccd78.NginxMailingListRussian@forum.nginx.org> <1149969710.20140121004026@softsearch.ru> <52DD8D17.5060706@citrin.ru> <437911983.20140123152119@ngs.ru>

Здравствуйте, Pavel.

>>> Всё просто. Суёшь в авторизационную куку логин пользователя и хэш.
>>> А  на  стороне  сервера  считаешь хэш от логина, пароля, подсети и
>>> salt и смотришь, равен ли он тому, что пришёл в куках.

>> Я  не  специалист по криптографии, но насколько понимаю просто хэша
>> тут недостаточно, нужен HMAC.
>> В инете на эту тему за 5 минут нашел только такую статью:
>> http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

>> Но встречал и более наглядные объяснения, почему нельзя в куке для 
>> авторизации хранить просто хэш и нужен именно HMAC.

> Кто-нибудь может кинуть ссылку на более наглядные объяснения с более
> человекопонятной  схемой,  как  это ломается? Либо может быть кто-то
> разъяснит  "на  пальцах", как злоумышленник, имея одну или несколько
> пар  "userId  + keyedhash" сможет сгенерировать пару "admin_userId +
> valid_keyedhash"?

Как  ломается,  сам  пока  не  разобрался.  Но  атака ведётся на поиск
константной строки, которая конкатенируется к данным (в Вашем случае к
userId  ).  Когда  она  или  её  замена  найдены, то берётся админский
userID,  найденная  строка  и получается подпись для админа. Далее она
суётся в куку вместе с id админа и у юзера права админа.


-- 
С уважением,
 Михаил                          mailto:postmaster@xxxxxxxxxxxxx

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Авторизация
  - From: Pavel V.

References:
- Авторизация
  - From: oklas
- Re: Авторизация
  - From: Михаил Монашёв
- Re: Авторизация
  - From: Anton Yuzhaninov
- Re: Авторизация
  - From: Pavel V.

Prev by Date: Re: Авторизация
Next by Date: Re: Боевая конфигурация
Previous by thread: Re: Авторизация
Next by thread: Re: Авторизация
Index(es):
- Date
- Thread