SSL для бедных: авторизация плавающим кодом.

SSL для бедных: авторизация плавающим кодом.

Многие, вероятно, заметили, что по поводу шифрования трафика в последнее время мы наблюдаем самый настоящий холивар. Причём, что интересно, технологию продавливают крупные Сервисы, типа поисковых систем и почтовиков (если ограничиться тем, чем мы пользуемся каждый день). И вот уже слышны победные реляции, что больше половины всего трафика в Сети теперь под криптографией.

Кому это нужно?

Рядовой пользователь смотрит на всё на это с некоторым недоумением. Он в упор не понимает, для чего шифровать всё подряд. Например, информационные сайты. Вот зачем ему доступ по защищённому каналу к публично же доступным текстам с прозаическими новостями?

Несмотря на некоторый перебор, всё вполне логично.

Любое государство стремится полностью контролировать своих граждан, например, вплоть до полного запрета наличных денег (движение средств по счёту отслеживается намного проще). С Интернетом всё то же самое - аппаратура СОРМ стоит в серверной любого провайдера и любого оператора связи. И уже давно.

Если вообще не шифровать трафик, то все авторизационные данные логируются в голом виде. Доступ к любому Сервису (той же почте) получит всякий, кто сподобится заглянуть в лог с голыми логинами и паролями. Причём на всём пути путешествия этих данных. То есть для провайдеров всех уровней никаких тайн нет.

Понятно, что компрометация авторизационных данных - это не то, с чем смирится Сервис. Отсюда и шифрование трафика, и двухфакторная авторизация, а иногда даже привязка к региону по IP.

Хорошо, выгодоприобретателя шифрования всего подряд мы нашли. Это всевозможные Сервисы, которые защищаются от финансовых и репутационных потерь в случае перехвата пользовательского трафика не в меру любопытным государством, а также провайдерами и точками доступа, которых контролировать просто некому.

Но ведь государству это не понравится, верно?

Естественно. Поэтому мы все с интересом смотрим на второй акт марлезонского балета, по окончании которого доступных нам Сервисов останется совсем мало, а сами они полностью перейдут под контроль государства.

Так, государство требует от тех Сервисов, которые шифруют свой трафик, держать весь пользовательский контент на серверах в пределах территории этого государства. И к этому пользовательскому контенту у государства есть гарантированный полный доступ. Теперь уже совершенно не важно, по какому там каналу тот контент на подконтрольный сервер попадает. Шифрование самого канала отныне никого не волнует.

Грубо говоря, больше не надо отслеживать Ваши банковские транзакции. Банк сам сольёт всю инфу при первом же запросе. А чтобы не осталось несговорчивых, спустя некоторое время на территории необъятной останется только карта «Мир» без всяких альтернатив. Хотя и сегодня любая тётка из налоговой может посмотреть движение средств по любому счёту любого гражданина.

Ну и далее государству остался последний шаг - надёжно связать любой пользовательский контент любого Сервиса с собственно пользователями. Закон Яровой это вскоре обеспечит. То, что идёт мимо провайдеров, тоже контролируется в обязательном порядке (законопроект о запрете анонимности в мессенджерах как иллюстрация).

Теперь перейдём от общего к частному.

От масштабов государств и больших корпораций спустимся к маленькому человечку. Помня при этом всю идеологию, которую мы постигли ранее.

Думающий вебмастер теперь уже хорошо понимает, что сторонними Сервисами лучше вообще не пользоваться. Почту можно держать только в собственном домене, при этом не храня её на сервере (для этого есть почтовый клиент). Переписываться с людьми, почта которых дислоцирована на Сервисах, можно только «ни о чём». Лучше завести систему тикетов, чтобы переписка вообще не выходила за пределы собственного сайта.

Остаётся только авторизация к сайту, которую безопасной без SSL не сделать. Да, есть варианты с системой токенов, и двухфакторная авторизация с одноразовым ключом, живущим меньше минуты. Но всё это как-то не шибко привычно.

Размышляя о таких вещах, местный автор невзначай изобрёл велосипед. Дописывается он к уже готовому решению буквально несколькими строчками, так что рассмотрим и такой вариант.

SSL для бедных.

Заголовок чуть утрированный, и его надо понимать так: а давайте, не разворачивая на сайте SSL, который самому сайту и даром не нужен, защитим авторизационные данные при передаче их от браузера к сайту, но прозрачным для пользователя образом. Чтобы пользователь привычно работал с логином и паролем, мог запоминать их браузером, и т. д. Но по факту по каналам связи передавались вовсе не логин с паролем.

Такое можно легко организовать, если по клику в кнопку отправки формы прямо на фронтенде поля логина и пароля переписать производными от самих логина с паролем, и отправить уже их. Функцией преобразования может быть любой способ хэширования с «солью», в качестве которой используются текущее время, IP адрес, юзерагент пользователя. Вернее, всё это вместе взятое. И что-нибудь ешё.

Это означает, что хэши от логина и пароля будут меняться каждую секунду, а срок их действия легко контролировать. Перехват хэшей ничего не даст, и серверы имени Яровой могут их коллекционировать вплоть до исчерпания дискового пространства.

Для самого сайта детектирование валидности хэша от известного набора авторизационных данных никакой проблемы не составляет. Обратимого хэширования не требуется. Поэтому метод очень прост, и непонятно, почему его не применяют круглосуточно и повсеместно.

Местный автор у себя это уже развернул.

Не гнушайтесь паранойи, она полезная. Особенно если точно знать, что все передаваемые в Сети данные протоколируются, и используются потом не пойми кем хрен знает с какой целью.

О схеме окупаемости хоббийных сайтов.

Внезапно узрел чудесное. Когда его совсем не ждал. Некий сеньор Экслер, отметив скромненько в скобочках, что его сайту исполнилось ровно 18 лет, вместо того, чтобы по этому поводу радоваться жизни любым из четырёх дозволенных религией способов, вдруг затеял панихиду. Мол, не приносит тот сайт доходов, достаточных для безмятежной жизни в Испании всей семьёй.

Нужен ли сайту SSL сертификат?

Довольно давно, ещё в 2014 году, в блоге Гугла для вебмастеров проскочила публикация о благостности HTTPS. Заметка небольшая, и базового английского вполне достаточно, чтобы понять две важных вещи: Использование SSL сертификата Вашим сайтом (HTTPS протокол) отныне учитывается поисковым алгоритмом Гугла. Пока этот фактор ранжирования является слабым, и влияет «менее чем на 1% глобальных запросов».

Про метрику на некоммерческом сайте.

В последнее время все буквально помешались на так называемой Big Data. Оно, конечно, понятно, что всё не очевидное становится явным, стоит лишь только применить математику. Но даже и тут случается явный перебор. Суть проблемы. Любой сайтовладелец со стажем помнит, как совсем недавно все молились на контент.

№ 1Остальные нервно курят?

После обновления файла авторизации все ли формы получат защиту от передачи данных в явном виде?

Как правило, защищается передача в ту форму, вояж сквозь которую награждает ходока какими-то правами. И это именно авторизация для админа.

Тогда можно организовывать общение узкого круга ограниченных лиц :)

Для этого можно измыслить чуток иной скрипт. Типа закрытого чата, с доступом в туда по особому аусвайсу, и без всякой авторизации.

Местный автор такое себе набросал, и будет пользовать, когда весь почтовый трафик попадёт под стопроцентный контроль.

airsound