SSL для бедных: авторизация плавающим кодом.

22 мая 2017, 13:00

SSL для бедных: авторизация плавающим кодом.

SSL для бедных: авторизация плавающим кодом.

Тайный иероглиф
Не говори никому.
Пиши на воде...

Многие, вероятно, заметили, что по поводу шифрования трафика в последнее время мы наблюдаем самый настоящий холивар. Причём, что интересно, технологию продавливают крупные Сервисы, типа поисковых систем и почтовиков (если ограничиться тем, чем мы пользуемся каждый день). И вот уже слышны победные реляции, что больше половины всего трафика в Сети теперь под криптографией.

Кому это нужно?

Рядовой пользователь смотрит на всё на это с некоторым недоумением. Он в упор не понимает, для чего шифровать всё подряд. Например, информационные сайты. Вот зачем ему доступ по защищённому каналу к публично же доступным текстам с прозаическими новостями?

Несмотря на некоторый перебор, всё вполне логично.

Любое государство стремится полностью контролировать своих граждан, например, вплоть до полного запрета наличных денег (движение средств по счёту отслеживается намного проще). С Интернетом всё то же самое - аппаратура СОРМ стоит в серверной любого провайдера и любого оператора связи. И уже давно.

Если вообще не шифровать трафик, то все авторизационные данные логируются в голом виде. Доступ к любому Сервису (той же почте) получит всякий, кто сподобится заглянуть в лог с голыми логинами и паролями. Причём на всём пути путешествия этих данных. То есть для провайдеров всех уровней никаких тайн нет.

Понятно, что компрометация авторизационных данных - это не то, с чем смирится Сервис. Отсюда и шифрование трафика, и двухфакторная авторизация, а иногда даже привязка к региону по IP.

Хорошо, выгодоприобретателя шифрования всего подряд мы нашли. Это всевозможные Сервисы, которые защищаются от финансовых и репутационных потерь в случае перехвата пользовательского трафика не в меру любопытным государством, а также провайдерами и точками доступа, которых контролировать просто некому.

Но ведь государству это не понравится, верно?

Естественно. Поэтому мы все с интересом смотрим на второй акт марлезонского балета, по окончании которого доступных нам Сервисов останется совсем мало, а сами они полностью перейдут под контроль государства.

Так, государство требует от тех Сервисов, которые шифруют свой трафик, держать весь пользовательский контент на серверах в пределах территории этого государства. И к этому пользовательскому контенту у государства есть гарантированный полный доступ. Теперь уже совершенно не важно, по какому там каналу тот контент на подконтрольный сервер попадает. Шифрование самого канала отныне никого не волнует.

Грубо говоря, больше не надо отслеживать Ваши банковские транзакции. Банк сам сольёт всю инфу при первом же запросе. А чтобы не осталось несговорчивых, спустя некоторое время на территории необъятной останется только карта «Мир» без всяких альтернатив. Хотя и сегодня любая тётка из налоговой может посмотреть движение средств по любому счёту любого гражданина.

Ну и далее государству остался последний шаг - надёжно связать любой пользовательский контент любого Сервиса с собственно пользователями. Закон Яровой это вскоре обеспечит. То, что идёт мимо провайдеров, тоже контролируется в обязательном порядке (законопроект о запрете анонимности в мессенджерах как иллюстрация).

Теперь перейдём от общего к частному.

От масштабов государств и больших корпораций спустимся к маленькому человечку. Помня при этом всю идеологию, которую мы постигли ранее.

Думающий вебмастер теперь уже хорошо понимает, что сторонними Сервисами лучше вообще не пользоваться. Почту можно держать только в собственном домене, при этом не храня её на сервере (для этого есть почтовый клиент). Переписываться с людьми, почта которых дислоцирована на Сервисах, можно только «ни о чём». Лучше завести систему тикетов, чтобы переписка вообще не выходила за пределы собственного сайта.

Остаётся только авторизация к сайту, которую безопасной без SSL не сделать. Да, есть варианты с системой токенов, и двухфакторная авторизация с одноразовым ключом, живущим меньше минуты. Но всё это как-то не шибко привычно.

Размышляя о таких вещах, местный автор невзначай изобрёл велосипед. Дописывается он к уже готовому решению буквально несколькими строчками, так что рассмотрим и такой вариант.

SSL для бедных.

Заголовок чуть утрированный, и его надо понимать так: а давайте, не разворачивая на сайте SSL, который самому сайту и даром не нужен, защитим авторизационные данные при передаче их от браузера к сайту, но прозрачным для пользователя образом. Чтобы пользователь привычно работал с логином и паролем, мог запоминать их браузером, и т. д. Но по факту по каналам связи передавались вовсе не логин с паролем.

Такое можно легко организовать, если по клику в кнопку отправки формы прямо на фронтенде поля логина и пароля переписать производными от самих логина с паролем, и отправить уже их. Функцией преобразования может быть любой способ хэширования с «солью», в качестве которой используются текущее время, IP адрес, юзерагент пользователя. Вернее, всё это вместе взятое. И что-нибудь ешё.

Это означает, что хэши от логина и пароля будут меняться каждую секунду, а срок их действия легко контролировать. Перехват хэшей ничего не даст, и серверы имени Яровой могут их коллекционировать вплоть до исчерпания дискового пространства.

Для самого сайта детектирование валидности хэша от известного набора авторизационных данных проблемы не составляет. Обратимого хэширования не требуется. Поэтому метод очень прост, и непонятно, почему его не применяют круглосуточно и повсеместно.

Теперь давайте это к чему-нибудь применим.
Например, к Nano-CMS.

Пользователи этой зверюшки могут перейти к её блогу новостей, где сказано, какой файлик надо заменить, где его взять, и как активировать именно этот метод авторизации, помимо кучи других.

Не гнушайтесь паранойи, она полезная. Особенно если точно знать, что все передаваемые в Сети данные протоколируются, и используются потом не пойми кем хрен знает с какой целью.

Другие статьи категории «Вебмастеру на заметку»

О схеме окупаемости хоббийных сайтов.

О схеме окупаемости хоббийных сайтов. Внезапно узрел чудесное. Когда его совсем не ждал. Некий сеньор Экслер, отметив скромненько в скобочках, что его сайту исполнилось ровно 18 лет, вместо того, чтобы по этому поводу радоваться жизни любым из четырёх дозволенных религией способов, вдруг затеял панихиду. Мол, не приносит тот сайт доходов, достаточных для безмятежной жизни в Испании всей семьёй.

Нужен ли сайту SSL сертификат?

Нужен ли сайту SSL сертификат? Довольно давно, ещё в 2014 году, в блоге Гугла для вебмастеров проскочила публикация о благостности HTTPS. Заметка небольшая, и базового английского вполне достаточно, чтобы понять две важных вещи: Использование SSL сертификата Вашим сайтом (HTTPS протокол) отныне учитывается поисковым алгоритмом Гугла. Пока этот фактор ранжирования является слабым, и влияет «менее чем на 1% глобальных запросов».

Про метрику на некоммерческом сайте.

Про метрику на некоммерческом сайте. В последнее время все буквально помешались на так называемой Big Data. Оно, конечно, понятно, что всё не очевидное становится явным, стоит лишь только применить математику. Но даже и тут случается явный перебор. Суть проблемы. Любой сайтовладелец со стажем помнит, как совсем недавно все молились на контент.
31 мая 2017, 15:28

№ 1Остальные нервно курят?

После обновления файла авторизации все ли формы, включая Общительную, Скрытую, Почтовую и прочие Наны, получат защиту от передачи данных в явном виде или это только основная форма Базовой Наны такой велосипед поимела?

Знаю, что можно поставить и проверить - просто занят.

Если не все получили такой щит, то может стоит озадачиться, задумка-то неслабая.
Как правило, защищается передача в ту форму, вояж сквозь которую награждает ходока какими-то правами. И это именно авторизация для админа - все остальные формы недосягаемы без админской авторизации (тупо и не примут ничего).
Тогда можно организовывать общение узкого круга ограниченных лиц :)
Для этого можно измыслить чуток иной скрипт. Типа закрытого чата, с доступом в туда по особому аусвайсу, и без всякой авторизации.

Местный автор такое себе набросал, и будет пользовать, когда весь почтовый трафик попадёт под стопроцентный контроль.
Интересует также судьба Абдуктора, Шопа и связки Блога-Сплога в плане саппорта рабочих сайтов на этих движках и создание новых, ежели захочется, без перехода на Нану.

Ибо Абдуктор собрался купить вскоре, понадобился. Будет посылать данные в Ластоблог...
Всё существующее никуда не денется, но развиваться вне Нановых рамок не будет.

В ближайшее время автор будет переносить весь свой текущий сайт на совершенно стандартную Нану (до этого пользовалась нестандартная), вот и посмотрим, как под ней шоп зашопится.
«... все остальные формы недосягаемы без админской авторизации ...»

Даже Почтовая с её формой подписки? В ней же также передаются конфиденциальные данные пользователя, в виде имени и ящичка. Это тоже волнует.

Вот чатик бы заценил... :)
Используя хэширование, нельзя потом расшифровать набор данных, изначально системе неизвестный. С админами всё просто - их система знает, и верифицировать зашифрованные данные может. А юзера не знает, так ведь?
Тогда списочек юзающих рассылку осядет в определённом месте по пути следования, что в принципе и без этого контролируется через почтовики.

Живём в прекрасном мире, однако.
Да тут никакой тайны и нет.

Творя рассылку по базе, Вы испускаете их со своего сайта (через хостера, вестимо) посредством почтового шлюза, так?

Можете не сомневаться, что этот шлюз контролируется, логируется, и вообще протоколируется. Поэтому кто что кому шлёт, тут все ходы записаны. Вся подписная база в одном логе для любого аккаунта.

Ну и про закон Яровой не забывайте. В аккурат такие вещи там и будут сниматься с каналов, и храниться три года. Или сколько там официально. А на самом деле - вечно.

Именно в таком режиме уже сейчас работают почтовики типа майла и яндекса - вся переписка там сохраняется навсегда, даже если вам кажется, что она вроде как удаляется. Неа.

Поэтому всё, что касается e-mail протокола, не приватно ни разу. И полностью голое перед силовиками, и вообще перед кем ни попадя (на самом деле).
airsound
Все заметки категории «Вебмастеру на заметку»