Форум программистов, компьютерный форум, киберфорум
Безопасность в интернете
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.56/16: Рейтинг темы: голосов - 16, средняя оценка - 4.56
74 / 42 / 0
Регистрация: 31.12.2019
Сообщений: 339
1

Защита данных пользователя (в общих чертах)

12.11.2020, 01:27. Просмотров 2951. Ответов 8
Метки нет (Все метки)

Интересен такой момент. Как происходит контроль и защита данных пользователя ?
Например, пользователь вводит свой пароль на сайте, но наверное зло-программист, который участвовал в создании этого сайта может сделать заранее так чтобы эти данные выводились перед отправлением в базу данных куда-нибудь ему, к примеру, в терминал или копировались в какой-нибудь файл, и потом он может посмотреть когда захочет эти данные.

Добавлено через 4 минуты
...возможно эти данные шифруются перед отправление на сервер и только база данных знает ключ к расшифровке?
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
12.11.2020, 01:27
Ответы с готовыми решениями:

Система 1С: управление торговлей в общих чертах
Доброго дня господа. Если пойму в общих чертах 1С, я думаю было бы проще изучить его. Итак, вопросы...

в общих чертах представляю,но с реализацией возникли трудности
Ввести строку, заменить интервалы между словами на 2 пробела.

в общих чертах представляю,но как это реализовать?
Ввести строку, заменить интервалы между словами на 2 пробела.

Как реализовать рисование многоугольника (в общих чертах)
Здравствуйте! Нужно сделать вот что. Есть форма, на ней я тыкаю мышкой - появляется точка, дальше...

8
2 / 1 / 1
Регистрация: 24.10.2020
Сообщений: 9
12.11.2020, 23:52 2
Лучший ответ Сообщение было отмечено Schulzkafer как решение

Решение

думается, что введенный пользователем пароль по любому будет открытым. Если он шифруется на стороне пользователя, то вместе с ним надо передавать пароль для расшифровки, который все равно будет открытым. И так по кругу...
Как вариант - пользователь вводит пароль, он хешируется и уже хеш отправляется на сервер для сравнения с сохраненным в базе. Но это защищает только сам пароль, так как перехваченный хеш все равно даст доступ врагу...

не затрагиваю тут открытые ключи, вряд ли кто-то будет делать такое.
1
74 / 42 / 0
Регистрация: 31.12.2019
Сообщений: 339
13.11.2020, 00:15  [ТС] 3
Спасибо!
0
10 / 7 / 3
Регистрация: 16.09.2012
Сообщений: 20
10.12.2020, 15:29 4
Лучший ответ Сообщение было отмечено Schulzkafer как решение

Решение

Цитата Сообщение от Mihas13 Посмотреть сообщение
открытые ключи, вряд ли кто-то будет делать такое
Представьте только, сделал "такое".
Трафик шифрован, и приватным, и симметричным, так что перехват не принесет успеха, и еще масса преимуществ.
Мне собственно это и не нужно, просто было интересно написать рабочий код и опробовать свои идеи. Но не пропадать же добру, нарикам предлагать не хочу, предложил банку, одному, второму, там своих амбиций предостаточно, идеями и реализациями не интересуются.
И куда его теперь?
1
WH
1294 / 629 / 131
Регистрация: 10.09.2013
Сообщений: 2,430
Записей в блоге: 3
13.12.2020, 11:36 5
Цитата Сообщение от JoVan Посмотреть сообщение
И куда его теперь?
Развивать свои познания в этой сфере, а сфера эта совсем не простая. Иногда (а точнее часто) кажущаяся гениальная фишка на поверку оказывается совсем дырявой.
1
10 / 7 / 3
Регистрация: 16.09.2012
Сообщений: 20
13.12.2020, 13:10 6
Лучший ответ Сообщение было отмечено Schulzkafer как решение

Решение

На предмет дырявости или гениальности можете проверить конечно, но ведь интересно же.
Оказывается такую конструкцию можно отнести по MFA классификации к категории 3FA.
Если строго подойти по классификации, то если нету сообщений в телефон, то это как бы и не 2FA и не 3FA, но учитывая что имеются и факторы знаний - логин и пароль, и факторы владения - случайное число образовываемое в браузере, куча ключей - открытый, приватный, плюс новый, т.е. все это имеется исключительно в браузере, и только браузер этим владеет, и в конце концов факторы принадлежности - ip и сам браузер пользователя, без них никак. И плюс мониторинг ситуации, все это не должно оставить любопытствующему ни одной лазейки.

И преимущества тоже есть по сравнению с 2FA:
• для пользователя намного удобнее авторизоваться на сайте;
• биометрические данные пользователя не требуются, и пожалуй именно это сейчас весьма актуально;
• защищенный вход в личный кабинет, защита от искажений передаваемых данных, защита сервера от проникновения "лишних" запросов, контроль ситуации для безопасности сервера;
• отсутствует необходимость передачи на телефон клиента каких либо кодов подтверждения (в т.ч. QR, СМС);
• нет каких либо дополнительных токенов, сертификатов, модулей, инсталляций;
• трафик осуществляется по безопасному туннелю передачи зашифрованных данных, передаваемые при регистрации и авторизации по сети логин и пароль предварительно модифицируются с помощью ассиметричного и симметричного шифрования динамическими одноразовыми ключами не хранящимися ни в браузере пользователя, ни на сервере, что исключает возможность их похищения и использования;
• не требуется https, достаточно всего лишь http, и при этом иметь все фишки https, без какого либо дополнительного файла сертификата и необходимости его периодически обновлять (хотя можно и https также использовать, и смс тоже).

Кроме того, приобретенный сертификат для https не дает возможности использовать в javascript ключ рса из https, и желающим особо защитить свой контент все равно приходится дополнительно изобретать новые изощренные способы достижения поставленной цели.
Тем более если уже в 21 году возникает проблема замены не только http на https, но и ОС, и даже самого девайса, и назрел вопрос усовершенствования способа аутентификации-авторизации.
Сайты перестанут открываться - это силовой прием? Монополия Центров на выдачу сертификатов ничего приятного пользователям сети не сулит, особенно при увеличении затрат на обновления.
На сегодня в переданные с сервера в браузер скрипты, даже по https, можно внести свои произвольные изменения и дополнения, так что они практически уже ничем не защищены в браузере пользователя, что оставляет что лазейку злоумышленнику для контакта с сервером, так что их сертификаты это не панацея.
Перечисленные выше проблемы решает моя конструкция сайта, и ничего удивительного нету в том, что в MFA классификации факторов отсутствует место для такой отдельной категории как тайна без смс )))
потому что на момент создания классификации не было реализации подобной схемы защиты.

У всех непереубедимое предвзятое мнение "что попало в интернет, то можно расшифровать", ничего подобного! Имеющиеся интервью на ютубе с профи-хакерами подтверждает как раз обратное, и они и специалисты по ИБ так и говорят: никто не станет возиться с криптой в таких объемах, проще конкретно человеческим фактором заняться, а это уже совсем другой вопрос.
Конечно мои скрипты не имеют своей собственной гарантийной сертификации по "гост"ам, и пока работают только в Chrome, но все это можно делать, если этим заниматься, если это вообще кому то нужно, кроме меня.
Так что решение с чужими, от каких то сторонних Центров криптографических сертификатов не единственное, и более того не самое лучшее и надежное. У меня лучше по любому и никаких личнобиометрических, дактилоскопических и иных данных!
А еще можно добавить в MFA новую категорию NFA, где N это множество факторов, что для моей схемы вполне естественно и будет означать что паролей в одной сессии проходит превеликое множество.

Интересна статистка ссылок из google.com :
аутентификация 2FA Результатов: примерно 65 000 000 (0,83 сек.)
аутентификация 3FA Результатов: примерно 78 500 (0,41 сек.)
3fa authentication Результатов: примерно 34 700 (0,61 сек.)
authentication 3fa Результатов: примерно 86 700 (0,52 сек.)
"аутентификация 3FA" Результатов: 3 (0,37 сек.)
судя по такой статистике вааабще никому и в голову не приходит улучшать защиту своих сайтов!!!
2
74 / 42 / 0
Регистрация: 31.12.2019
Сообщений: 339
13.12.2020, 15:37  [ТС] 7
Вот, если кто попадет на эту тему и понятия не имеет как происходит встраивание платежной системы на сайт, этот сайт может быть интересен(новичкам как я должно быть интересно) https://yookassa.ru/developers
0
10 / 7 / 3
Регистрация: 16.09.2012
Сообщений: 20
18.12.2020, 12:41 8
Статистика гугла очень даже правильная - на форуме, как и предполагалось, интереса к 3FA хватает лишь на то чтобы посмотреть этот пост, но не на то чтобы написать хоть что либо посмотрев конкретное новое DEMO.
И если сфера эта действительно совсем не простая, и никто ей не интересуется, то стоит ли развивать свои познания в ней?
0
10 / 7 / 3
Регистрация: 16.09.2012
Сообщений: 20
12.01.2021, 16:44 9
Цитата Сообщение от Mihas13 Посмотреть сообщение
введенный пользователем пароль по любому будет открытым
Звучит как аксиома, доказательств не имеющая.
Приведу пару легких примеров отличных друг от друга по схеме работы, опровергающих Ваше устное предположение:

http://visiotxt.myartsonline.com/

http://visiotxt.myartsonline.com/game/

где пароль и логин могут быть переданы на сервер не в "открытом виде".
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
12.01.2021, 16:44

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Где можно в общих чертах прочитать про инфраструктуру .NET Framework
Уважаемые форумчане где можно в общих чертать прочитать про 1. Инфраструктура .NET Framework....

Реально ли ВЧ вывести в ТОП без ссылочной массы?Если,да то в общих чертах расскажите?
Реально ли ВЧ вывести в ТОП без ссылочной массы?Если,да то в общих чертах расскажите?

Защита общих данных при нескольких потоках
Добрый день. Есть задача приёма и последующей обработки данных по ком порту. Решил сделать 2...

Защита данных аутентификации и идентификации пользователя
Доброго времени суток! Стал изучать вопрос аутентификации и идентификации пользователей на сайте....

Запрос для вывода общих друзей пользователя
Есть база даных freinds: id | author_id | freind_id | status. Не подскажите, как сделать как в ВК...

Защита настроек от пользователя
Здравствуйте, подскажите как вы скрываете настройки от пользователя? Например чтоб пользователь...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
9
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.