Несколько дней назад разместил даный топик в livejournal большинство сказало, что я параноик. Я в принципе с этим согласен. Только пароноик может поставить данную защиту, но всё таки параноя параноей, а идея существует и уже воплощена. Позвольте раскрыть её суть.

Усилил защиту админ части CMS MyCat. Теперь начиная с версии 4.0.2 в CMS MyCat можно будет включить следующую дополнительную функцию авторизации.
В настройках администратор может выбрать любую комбинацию не больше 9 чисел разумеется
http://sagov.jino-net.ru/images/pic2.gif
Как видите учитывается не только комбинация и положение но и порядок ввода чисел.

При входе в админ часть потребуется ввести тот же квадрат. Числа находятся в ротации, и комбинация всегда будет разной. Максимальная случайность попадания 1 из 10 милионов.
http://sagov.jino-net.ru/images/pic1.gif

Точно параноик. Но прикольно.

Зачем всё это? От направленной атаки это не спасёт, разве что если комбинации порядка числ всегда будут рандомными, вместе с опознавательной картинкой. Ну и картинку-карту тогда придётся ставить (которую тоже надо будет как-то защищать).

Несколько дней назад разместил даный топик в livejournal большинство сказало, что я параноик. Я в принципе с этим согласен. Только пароноик может поставить данную защиту, но всё таки параноя параноей, а идея существует и уже воплощена. Позвольте раскрыть её суть.

Усилил защиту админ части CMS MyCat. Теперь начиная с версии 4.0.2 в CMS MyCat можно будет включить следующую дополнительную функцию авторизации.
В настройках администратор может выбрать любую комбинацию не больше 9 чисел разумеется
http://sagov.jino-net.ru/images/pic2.gif
Как видите учитывается не только комбинация и положение но и порядок ввода чисел.

При входе в админ часть потребуется ввести тот же квадрат. Числа находятся в ротации, и комбинация всегда будет разной. Максимальная случайность попадания 1 из 10 милионов.
http://sagov.jino-net.ru/images/pic1.gif

Я бы не сказал, что это усиление. Типа еще одно поле для пароля :)
Ну или CAPTCHA если хотите...

P.S.
Вообще, прежде чем придумать такую схему, вы должны были задаваться себе вопросом, что мы собственно защищать собираемся? Если существует вероятность несанкционированного доступа к админ. части системы какими методами это осуществляется? Ну и другие вопросы, которые обычно возникает при построении защиты веб приложения.

Максимальная случайность попадания 1 из 10 милионов.

Как посчитали? У меня вероятность 1 к 362,88 триллионам при использовании всех девяти ячеек.

Хотя нет, вру. Если у нас есть OCR, который со 100% вероятностью разгадывает ваши циферки, то случайным образом можно подобрать 9! вариантов. Но это при том, что еще неизвестно сколько именно ячеек выбрано админом.

Я бы не сказал, что это усиление. Типа еще одно поле для пароля :)
Ну или CAPTCHA если хотите...

Не верно. Если у вас перехватят пароль, то под ним можно войти. А здесь никак не получится. Пароль ведь всегда формируется разный. Могут только перехватить количество вводимых символов.

Как посчитали? У меня вероятность 1 к 362,88 триллионам при использовании всех девяти ячеек.

Я считал с учётом того, что будут знать количество вводимых символов, а так конечно огромная вероятность получится.

Зачем всё это? От направленной атаки это не спасёт, разве что если комбинации порядка числ всегда будут рандомными, вместе с опознавательной картинкой. Ну и картинку-карту тогда придётся ставить (которую тоже надо будет как-то защищать).
О, сорри подумал, что это CAPTCHA.

Тогда, конечно, идея интересная.

Не верно. Если у вас перехватят пароль, то под ним можно войти. А здесь никак не получится. Пароль ведь всегда формируется разный. Могут только перехватить количество вводимых символов.
Не знаю точно, но наверное могут и перехватить картинку. Логику ее формирования тогда можно будет легко понять.

Не верно. Если у вас перехватят пароль, то под ним можно войти. А здесь никак не получится. Пароль ведь всегда формируется разный. Могут только перехватить количество вводимых символов.

Хорошо, давайте по порядку, чтобы я понял как ваша защита работает. Что вы на стороне сервера для данного пользователя храните и как вы потом это самое сравниваете при авторизации?

Не знаю точно, но наверное могут и перехватить картинку. Логику ее формирования тогда можно будет легко понять.
Ну пускай картинку перехватывают, что с того? На сервере генерируется число n символов, генерируется картинка, где сгенерированные числа расставляются по карте заданной админом. То есть при логине, человек передаёт порядок следования блоков.

Хорошо, давайте по порядку, чтобы я понял как ваша защита работает. Что вы на стороне сервера для данного пользователя храните и как вы потом это самое сравниваете при авторизации?

я запоминаю последовательность ввода или так сказать "квадрат". Там необязательно, что бы было все по порядку, и не обязательно все 9 заполнять сколько хочешь столько и заполняй.
Потом при авторизации в ротации вывожу циферки. И пароль получается разный так как админ набирает не комбинацию цифр и букв а "квадрат" который он установил себе, причём с тойже последовательностью
(кстати можно ещё использовать и английские буквы, вот только буква "o" всё портит) .

кстати можно ещё использовать и английские буквы, вот только буква "o" всё портит
По вашей схеме можно много чего ещё придумать, а такого ещё ни у кого нет?

я запоминаю последовательность ввода или так сказать "квадрат". Там необязательно, что бы было все по порядку, и не обязательно все 9 заполнять сколько хочешь столько и заполняй.
Потом при авторизации в ротации вывожу циферки. И пароль получается разный так как админ набирает не комбинацию цифр и букв а "квадрат" который он установил себе (кстати можно ещё использовать и английские буквы, вот только буква "o" всё портит) .

Вроде я понял как это работает, но это не защита! Как ваша защита спасает от MITM?

а такого ещё ни у кого нет?
Ну во всяком случае у знаменитых CMS нету..
Его еще надо тестить, все моежт быть...

Вроде я понял как это работает, но это не защита! Как ваша защита спасает от MITM?
Что-то я не знаю способа защиты от MitM без использования открытого ключа.

Ну во всяком случае у знаменитых CMS нету..
Его еще надо тестить, все моежт быть...

А зачем тестить заведомо "дырявый" вариант? Не лучше ли использовать действительно защищенный вариант?

По вашей схеме можно много чего ещё придумать, а такого ещё ни у кого нет?

Пару лет назад я читал на membrana.ru разные подходы к авторизации. Там были занимательные предложения. Имено такого не было, но были похожие. типа запоминаете и задаёте букву или цифру, потом выводятся в ротации тоже куча символов где присутствует твоя, и надо вводить треугольник которым он обтекает,и так несколько раз, авторизация затягивается. Там много было предложений.

Что-то я не знаю способа защиты от MitM без использования открытого ключа.

Не просто открытый ключ, а целый комплекс мер на основе PKI.

Пару лет назад я читал на membrana.ru разные подходы к авторизации. Там были занимательные предложения. Имено такого не было, но были похожие. типа запоминаете и задаёте букву или цифру, потом выводятся в ротации тоже куча символов где присутствует твоя, и надо вводить треугольник которым он обтекает,и так несколько раз, авторизация затягивается. Там много было предложений.

Пожалуйста, не увлекайтесь с "полумерами" для обеспечения безопасности.

Не просто открытый ключ, а целый комплекс мер на основе PKI.
Не кажется ли вам, что это слишком дорого и трудоёмко для простой CMS сайта уровня afisha.uz, например?

А зачем тестить заведомо "дырявый" вариант? Не лучше ли использовать действительно защищенный вариант?

Понимаете, одним методом или так сказать одним щитом полностью прикрыться нельзя. Поэтому надо учитывать всё. Это функция например может защитить от перехвата пароля. И эта функция не обязательна хочешь ставь , а хочешь не ставь.

Понимаете, одним методом или так сказать одним щитом полностью прикрыться нельзя. Поэтому надо учитывать всё. Это функция например может защитить от перехвата пароля. И эта функция не обязательна хочешь ставь , а хочешь не ставь.
От перехвата пароля в случае MitM она не защитит, можно также перехватить передаваемые цифры. она в какой-то мере защищает от соц. инженерии и перебора пароля, грубо говоря это второй пароль.

Пожалуйста, не увлекайтесь с "полумерами" для обеспечения безопасности.

Эээ да ладно, мы говорим о разном и думаем поразному.

грубо говоря это второй пароль.

совершено верно.

Эээ да ладно, мы говорим о разном и думаем поразному.

Ну если не хотите обсуждать, воля ваше. ;)

Эээ да ладно, мы говорим о разном и думаем поразному.
Нет уж. возможно вы думаете о разном. Но говорите вы об одном.
Система просто как +1 для безопасности авторизации а не солюшн.

Не кажется ли вам, что это слишком дорого и трудоёмко для простой CMS сайта уровня afisha.uz, например?

Безопасность никогда не было дешевым ;)

Не просто открытый ключ, а целый комплекс мер на основе PKI.
Безопасность никогда не было дешевым
Не кажется ли вам, что это слишком дорого и трудоёмко для простой CMS сайта уровня afisha.uz, например?
Когда риски приносят меньше затрат, чем их устранение, не имеет смысла их устранять. Тем более вероятность взлома некрупного портала на вебе крайне мала.

Система просто как +1 для безопасности авторизации а не солюшн.

Точно и может применяться ещё для понтов админов сайтов.
Говоришь в баре всем свой логин и пароль а попасть всё равно нельзя :)

Точно и может применяться ещё для понтов админов сайтов.
Говоришь в баре всем свой логин и пароль а попасть всё равно нельзя
У всех свой взгляд и потребности если нужны понты, то да крутая система!! ..))

Просто была идея, не ложить же её в стол и так стол переполнен всякими наполовину закончеными идеями. А CMS MyCat моя система, я и установил на неё. Может кто то захочет себе такое же реализовать, или появятся дополнительные мысли. Это так ради спорттивного интереса.

А времени это реализовать недолго.Наверное гдето минут 20-ть - 40.

Просто была идея, не ложить же её в стол и так стол переполнен всякими наполовину закончеными идеями. А CMS MyCat моя система, я и установил на неё. Может кто то захочет себе такое же реализовать, или появятся дополнительные мысли. Это так ради спорттивного интереса.

А времени это реализовать недолго.Наверное гдето минут 20-ть - 40.

Я рекомендую вам добавить в документацию предупреждение о том, что реализованная вами идея не что иное как понт для администраторов и было реализовано всего лишь ради спортивного интереса :)

Таких примочек моет быть много! Можно, но не надо так увлекатся...(хотя для опыта..)
Есть куча других проблем авторизации которых надо решить...Чтобы система не тратить кучу бабок как выше сказано.. )

Чтобы система не тратить кучу бабок как выше сказано.. )

Причём тут деньги я вот не пойму. Я что плачу комуто за это или требую с когото деньги за это? Бесплатно это всё.

Есть куча других проблем авторизации которых надо решить...
Обсудим? ;)

Обсудим?
Почему бы и нет?

Причём тут деньги я вот не пойму. Я что плачу комуто за это или требую с когото деньги за это? Бесплатно это всё.
Я не об этом...
чтобы не прибегать к разным методам и системам которые стоят деньги )

Почему бы и нет?

Ну так выкладывайте... ;)

Ну так выкладывайте...
гЫ! а чего тут обсуждать..тот же mitm..от которого защитится как вы сказали можно с помошью pki..но ведь есть и должны быть другие более примитивные но устойчивые солюшены..чтобы эти же к примеру afisha.uz (RY (c)) могли использовать.

гЫ! а чего тут обсуждать..тот же mitm..от которого защитится как вы сказали можно с помошью pki..но ведь есть и должны быть другие более примитивные но устойчивые солюшены..чтобы эти же к примеру afisha.uz (RY (c)) могли использовать.

Так, давайте не ходить вокруг да около...
Вы сказали Есть куча других проблем авторизации которых надо решить, какие проблемы вы имели в виду (кроме MITM)?
Если мы саму проблему (и конечно ситуацию, где это проблема возникает) четко не представим, то что будем обсуждать?

какие проблемы вы имели в виду
Насчет кучи вожможно я и преувеличил.
Так, проблемы с сессиями, я не о том что есть нерешенные проблемы, а то что многие CMS все таки дырявые в этом деле..
и вообщето я не о том что есть много таких проблем, а что мноие cms имеют дырявые системы авторизации...
брут форсы и т.д. и т.п.