Усиление безопасности CMS MyCat или новый взгляд на авторизацию

[Ruslan Juldashev]

Цитата:

Сообщение от netklon

Не знаю точно, но наверное могут и перехватить картинку. Логику ее формирования тогда можно будет легко понять.

Ну пускай картинку перехватывают, что с того? На сервере генерируется число n символов, генерируется картинка, где сгенерированные числа расставляются по карте заданной админом. То есть при логине, человек передаёт порядок следования блоков.

[Vladimir Sagov]

Цитата:

Сообщение от shumbola

Хорошо, давайте по порядку, чтобы я понял как ваша защита работает. Что вы на стороне сервера для данного пользователя храните и как вы потом это самое сравниваете при авторизации?

я запоминаю последовательность ввода или так сказать "квадрат". Там необязательно, что бы было все по порядку, и не обязательно все 9 заполнять сколько хочешь столько и заполняй.
Потом при авторизации в ротации вывожу циферки. И пароль получается разный так как админ набирает не комбинацию цифр и букв а "квадрат" который он установил себе, причём с тойже последовательностью
(кстати можно ещё использовать и английские буквы, вот только буква "o" всё портит) .

[Ruslan Juldashev]

Цитата:

Сообщение от Vladimir Sagov

кстати можно ещё использовать и английские буквы, вот только буква "o" всё портит

По вашей схеме можно много чего ещё придумать, а такого ещё ни у кого нет?

[shumbola]

Цитата:

Сообщение от Vladimir Sagov

я запоминаю последовательность ввода или так сказать "квадрат". Там необязательно, что бы было все по порядку, и не обязательно все 9 заполнять сколько хочешь столько и заполняй.
Потом при авторизации в ротации вывожу циферки. И пароль получается разный так как админ набирает не комбинацию цифр и букв а "квадрат" который он установил себе (кстати можно ещё использовать и английские буквы, вот только буква "o" всё портит) .

Вроде я понял как это работает, но это не защита! Как ваша защита спасает от MITM?

[Rustam Khodjaev]

Цитата:

Сообщение от Ruslan Yuldashev

а такого ещё ни у кого нет?

Ну во всяком случае у знаменитых CMS нету..
Его еще надо тестить, все моежт быть...

[Ruslan Juldashev]

Цитата:

Сообщение от shumbola

Вроде я понял как это работает, но это не защита! Как ваша защита спасает от MITM?

Что-то я не знаю способа защиты от MitM без использования открытого ключа.

[shumbola]

Цитата:

Сообщение от Rustam Khodjaev

Ну во всяком случае у знаменитых CMS нету..
Его еще надо тестить, все моежт быть...

А зачем тестить заведомо "дырявый" вариант? Не лучше ли использовать действительно защищенный вариант?

[Vladimir Sagov]

Цитата:

Сообщение от Ruslan Yuldashev

По вашей схеме можно много чего ещё придумать, а такого ещё ни у кого нет?

Пару лет назад я читал на membrana.ru разные подходы к авторизации. Там были занимательные предложения. Имено такого не было, но были похожие. типа запоминаете и задаёте букву или цифру, потом выводятся в ротации тоже куча символов где присутствует твоя, и надо вводить треугольник которым он обтекает,и так несколько раз, авторизация затягивается. Там много было предложений.

[shumbola]

Цитата:

Сообщение от Ruslan Yuldashev

Что-то я не знаю способа защиты от MitM без использования открытого ключа.

Не просто открытый ключ, а целый комплекс мер на основе PKI.

[shumbola]

Цитата:

Сообщение от Vladimir Sagov

Пару лет назад я читал на membrana.ru разные подходы к авторизации. Там были занимательные предложения. Имено такого не было, но были похожие. типа запоминаете и задаёте букву или цифру, потом выводятся в ротации тоже куча символов где присутствует твоя, и надо вводить треугольник которым он обтекает,и так несколько раз, авторизация затягивается. Там много было предложений.

Пожалуйста, не увлекайтесь с "полумерами" для обеспечения безопасности.