Защита данных пользователя (в общих чертах)

@Schulzkafer · Регистрация: 31.12.2019

Интересен такой момент. Как происходит контроль и защита данных пользователя ?
Например, пользователь вводит свой пароль на сайте, но наверное зло-программист, который участвовал в создании этого сайта может сделать заранее так чтобы эти данные выводились перед отправлением в базу данных куда-нибудь ему, к примеру, в терминал или копировались в какой-нибудь файл, и потом он может посмотреть когда захочет эти данные.

Добавлено через 4 минуты
...возможно эти данные шифруются перед отправление на сервер и только база данных знает ключ к расшифровке?

@Mihas13 · 12.11.2020, 23:52

думается, что введенный пользователем пароль по любому будет открытым. Если он шифруется на стороне пользователя, то вместе с ним надо передавать пароль для расшифровки, который все равно будет открытым. И так по кругу...
Как вариант - пользователь вводит пароль, он хешируется и уже хеш отправляется на сервер для сравнения с сохраненным в базе. Но это защищает только сам пароль, так как перехваченный хеш все равно даст доступ врагу...

не затрагиваю тут открытые ключи, вряд ли кто-то будет делать такое.

@Schulzkafer · 13.11.2020, 00:15 **[ТС]**

Спасибо!

@JoVan · 10.12.2020, 15:29

Сообщение от Mihas13

открытые ключи, вряд ли кто-то будет делать такое

Представьте только, сделал "такое".
Трафик шифрован, и приватным, и симметричным, так что перехват не принесет успеха, и еще масса преимуществ.
Мне собственно это и не нужно, просто было интересно написать рабочий код и опробовать свои идеи. Но не пропадать же добру, нарикам предлагать не хочу, предложил банку, одному, второму, там своих амбиций предостаточно, идеями и реализациями не интересуются.
И куда его теперь?

@WH · 13.12.2020, 11:36

Сообщение от JoVan

И куда его теперь?

Развивать свои познания в этой сфере, а сфера эта совсем не простая. Иногда (а точнее часто) кажущаяся гениальная фишка на поверку оказывается совсем дырявой.

@JoVan · 13.12.2020, 13:10

На предмет дырявости или гениальности можете проверить конечно, но ведь интересно же.
Оказывается такую конструкцию можно отнести по MFA классификации к категории 3FA.
Если строго подойти по классификации, то если нету сообщений в телефон, то это как бы и не 2FA и не 3FA, но учитывая что имеются и факторы знаний - логин и пароль, и факторы владения - случайное число образовываемое в браузере, куча ключей - открытый, приватный, плюс новый, т.е. все это имеется исключительно в браузере, и только браузер этим владеет, и в конце концов факторы принадлежности - ip и сам браузер пользователя, без них никак. И плюс мониторинг ситуации, все это не должно оставить любопытствующему ни одной лазейки.

И преимущества тоже есть по сравнению с 2FA:
• для пользователя намного удобнее авторизоваться на сайте;
• биометрические данные пользователя не требуются, и пожалуй именно это сейчас весьма актуально;
• защищенный вход в личный кабинет, защита от искажений передаваемых данных, защита сервера от проникновения "лишних" запросов, контроль ситуации для безопасности сервера;
• отсутствует необходимость передачи на телефон клиента каких либо кодов подтверждения (в т.ч. QR, СМС);
• нет каких либо дополнительных токенов, сертификатов, модулей, инсталляций;
• трафик осуществляется по безопасному туннелю передачи зашифрованных данных, передаваемые при регистрации и авторизации по сети логин и пароль предварительно модифицируются с помощью ассиметричного и симметричного шифрования динамическими одноразовыми ключами не хранящимися ни в браузере пользователя, ни на сервере, что исключает возможность их похищения и использования;
• не требуется https, достаточно всего лишь http, и при этом иметь все фишки https, без какого либо дополнительного файла сертификата и необходимости его периодически обновлять (хотя можно и https также использовать, и смс тоже).

Кроме того, приобретенный сертификат для https не дает возможности использовать в javascript ключ рса из https, и желающим особо защитить свой контент все равно приходится дополнительно изобретать новые изощренные способы достижения поставленной цели.
Тем более если уже в 21 году возникает проблема замены не только http на https, но и ОС, и даже самого девайса, и назрел вопрос усовершенствования способа аутентификации-авторизации.
Сайты перестанут открываться - это силовой прием? Монополия Центров на выдачу сертификатов ничего приятного пользователям сети не сулит, особенно при увеличении затрат на обновления.
На сегодня в переданные с сервера в браузер скрипты, даже по https, можно внести свои произвольные изменения и дополнения, так что они практически уже ничем не защищены в браузере пользователя, что оставляет что лазейку злоумышленнику для контакта с сервером, так что их сертификаты это не панацея.
Перечисленные выше проблемы решает моя конструкция сайта, и ничего удивительного нету в том, что в MFA классификации факторов отсутствует место для такой отдельной категории как тайна без смс )))
потому что на момент создания классификации не было реализации подобной схемы защиты.

У всех непереубедимое предвзятое мнение "что попало в интернет, то можно расшифровать", ничего подобного! Имеющиеся интервью на ютубе с профи-хакерами подтверждает как раз обратное, и они и специалисты по ИБ так и говорят: никто не станет возиться с криптой в таких объемах, проще конкретно человеческим фактором заняться, а это уже совсем другой вопрос.
Конечно мои скрипты не имеют своей собственной гарантийной сертификации по "гост"ам, и пока работают только в Chrome, но все это можно делать, если этим заниматься, если это вообще кому то нужно, кроме меня.
Так что решение с чужими, от каких то сторонних Центров криптографических сертификатов не единственное, и более того не самое лучшее и надежное. У меня лучше по любому

и никаких личнобиометрических, дактилоскопических и иных данных!
А еще можно добавить в MFA новую категорию NFA, где N это множество факторов, что для моей схемы вполне естественно и будет означать что паролей в одной сессии проходит превеликое множество.

Интересна статистка ссылок из google.com :
аутентификация 2FA Результатов: примерно 65 000 000 (0,83 сек.)
аутентификация 3FA Результатов: примерно 78 500 (0,41 сек.)
3fa authentication Результатов: примерно 34 700 (0,61 сек.)
authentication 3fa Результатов: примерно 86 700 (0,52 сек.)
"аутентификация 3FA" Результатов: 3 (0,37 сек.)
судя по такой статистике вааабще никому и в голову не приходит улучшать защиту своих сайтов!!!

@Schulzkafer · 13.12.2020, 15:37 **[ТС]**

Вот, если кто попадет на эту тему и понятия не имеет как происходит встраивание платежной системы на сайт, этот сайт может быть интересен(новичкам как я должно быть интересно) https://yookassa.ru/developers

@JoVan · 18.12.2020, 12:41

Статистика гугла очень даже правильная - на форуме, как и предполагалось, интереса к 3FA хватает лишь на то чтобы посмотреть этот пост, но не на то чтобы написать хоть что либо посмотрев конкретное новое DEMO.
И если сфера эта действительно совсем не простая, и никто ей не интересуется, то стоит ли развивать свои познания в ней?

@JoVan · 12.01.2021, 16:44

Сообщение от Mihas13

введенный пользователем пароль по любому будет открытым

Звучит как аксиома, доказательств не имеющая.
Приведу пару легких примеров отличных друг от друга по схеме работы, опровергающих Ваше устное предположение:

http://visiotxt.myartsonline.com/

http://visiotxt.myartsonline.com/game/

где пароль и логин могут быть переданы на сервер не в "открытом виде".

Защита данных пользователя (в общих чертах)

Решение

Решение

Решение

@Schulzkafer 74 / 42 / 0 Регистрация: 31.12.2019 Сообщений: 339
		1
	Защита данных пользователя (в общих чертах) 12.11.2020, 01:27. Просмотров 2951. Ответов 8 Метки нет (Все метки) Интересен такой момент. Как происходит контроль и защита данных пользователя ? Например, пользователь вводит свой пароль на сайте, но наверное зло-программист, который участвовал в создании этого сайта может сделать заранее так чтобы эти данные выводились перед отправлением в базу данных куда-нибудь ему, к примеру, в терминал или копировались в какой-нибудь файл, и потом он может посмотреть когда захочет эти данные. Добавлено через 4 минуты ...возможно эти данные шифруются перед отправление на сервер и только база данных знает ключ к расшифровке? 0

@Mihas13 2 / 1 / 1 Регистрация: 24.10.2020 Сообщений: 9
	12.11.2020, 23:52	2
	Сообщение было отмечено Schulzkafer как решение Решение думается, что введенный пользователем пароль по любому будет открытым. Если он шифруется на стороне пользователя, то вместе с ним надо передавать пароль для расшифровки, который все равно будет открытым. И так по кругу... Как вариант - пользователь вводит пароль, он хешируется и уже хеш отправляется на сервер для сравнения с сохраненным в базе. Но это защищает только сам пароль, так как перехваченный хеш все равно даст доступ врагу... не затрагиваю тут открытые ключи, вряд ли кто-то будет делать такое. 1

@Schulzkafer 74 / 42 / 0 Регистрация: 31.12.2019 Сообщений: 339
	13.11.2020, 00:15 [ТС]	3
	Спасибо! 0

@JoVan 10 / 7 / 3 Регистрация: 16.09.2012 Сообщений: 20
	10.12.2020, 15:29	4
	Сообщение было отмечено Schulzkafer как решение Решение Сообщение от Mihas13 открытые ключи, вряд ли кто-то будет делать такое Представьте только, сделал "такое". Трафик шифрован, и приватным, и симметричным, так что перехват не принесет успеха, и еще масса преимуществ. Мне собственно это и не нужно, просто было интересно написать рабочий код и опробовать свои идеи. Но не пропадать же добру, нарикам предлагать не хочу, предложил банку, одному, второму, там своих амбиций предостаточно, идеями и реализациями не интересуются. И куда его теперь? 1

@WH 1294 / 629 / 131 Регистрация: 10.09.2013 Сообщений: 2,430 Записей в блоге: 3
	13.12.2020, 11:36	5
	Сообщение от JoVan И куда его теперь? Развивать свои познания в этой сфере, а сфера эта совсем не простая. Иногда (а точнее часто) кажущаяся гениальная фишка на поверку оказывается совсем дырявой. 1

@JoVan 10 / 7 / 3 Регистрация: 16.09.2012 Сообщений: 20
	13.12.2020, 13:10	6
	Сообщение было отмечено Schulzkafer как решение Решение На предмет дырявости или гениальности можете проверить конечно, но ведь интересно же. Оказывается такую конструкцию можно отнести по MFA классификации к категории 3FA. Если строго подойти по классификации, то если нету сообщений в телефон, то это как бы и не 2FA и не 3FA, но учитывая что имеются и факторы знаний - логин и пароль, и факторы владения - случайное число образовываемое в браузере, куча ключей - открытый, приватный, плюс новый, т.е. все это имеется исключительно в браузере, и только браузер этим владеет, и в конце концов факторы принадлежности - ip и сам браузер пользователя, без них никак. И плюс мониторинг ситуации, все это не должно оставить любопытствующему ни одной лазейки. И преимущества тоже есть по сравнению с 2FA: • для пользователя намного удобнее авторизоваться на сайте; • биометрические данные пользователя не требуются, и пожалуй именно это сейчас весьма актуально; • защищенный вход в личный кабинет, защита от искажений передаваемых данных, защита сервера от проникновения "лишних" запросов, контроль ситуации для безопасности сервера; • отсутствует необходимость передачи на телефон клиента каких либо кодов подтверждения (в т.ч. QR, СМС); • нет каких либо дополнительных токенов, сертификатов, модулей, инсталляций; • трафик осуществляется по безопасному туннелю передачи зашифрованных данных, передаваемые при регистрации и авторизации по сети логин и пароль предварительно модифицируются с помощью ассиметричного и симметричного шифрования динамическими одноразовыми ключами не хранящимися ни в браузере пользователя, ни на сервере, что исключает возможность их похищения и использования; • не требуется https, достаточно всего лишь http, и при этом иметь все фишки https, без какого либо дополнительного файла сертификата и необходимости его периодически обновлять (хотя можно и https также использовать, и смс тоже). Кроме того, приобретенный сертификат для https не дает возможности использовать в javascript ключ рса из https, и желающим особо защитить свой контент все равно приходится дополнительно изобретать новые изощренные способы достижения поставленной цели. Тем более если уже в 21 году возникает проблема замены не только http на https, но и ОС, и даже самого девайса, и назрел вопрос усовершенствования способа аутентификации-авторизации. Сайты перестанут открываться - это силовой прием? Монополия Центров на выдачу сертификатов ничего приятного пользователям сети не сулит, особенно при увеличении затрат на обновления. На сегодня в переданные с сервера в браузер скрипты, даже по https, можно внести свои произвольные изменения и дополнения, так что они практически уже ничем не защищены в браузере пользователя, что оставляет что лазейку злоумышленнику для контакта с сервером, так что их сертификаты это не панацея. Перечисленные выше проблемы решает моя конструкция сайта, и ничего удивительного нету в том, что в MFA классификации факторов отсутствует место для такой отдельной категории как тайна без смс ))) потому что на момент создания классификации не было реализации подобной схемы защиты. У всех непереубедимое предвзятое мнение "что попало в интернет, то можно расшифровать", ничего подобного! Имеющиеся интервью на ютубе с профи-хакерами подтверждает как раз обратное, и они и специалисты по ИБ так и говорят: никто не станет возиться с криптой в таких объемах, проще конкретно человеческим фактором заняться, а это уже совсем другой вопрос. Конечно мои скрипты не имеют своей собственной гарантийной сертификации по "гост"ам, и пока работают только в Chrome, но все это можно делать, если этим заниматься, если это вообще кому то нужно, кроме меня. Так что решение с чужими, от каких то сторонних Центров криптографических сертификатов не единственное, и более того не самое лучшее и надежное. У меня лучше по любому и никаких личнобиометрических, дактилоскопических и иных данных! А еще можно добавить в MFA новую категорию NFA, где N это множество факторов, что для моей схемы вполне естественно и будет означать что паролей в одной сессии проходит превеликое множество. Интересна статистка ссылок из google.com : аутентификация 2FA Результатов: примерно 65 000 000 (0,83 сек.) аутентификация 3FA Результатов: примерно 78 500 (0,41 сек.) 3fa authentication Результатов: примерно 34 700 (0,61 сек.) authentication 3fa Результатов: примерно 86 700 (0,52 сек.) "аутентификация 3FA" Результатов: 3 (0,37 сек.) судя по такой статистике вааабще никому и в голову не приходит улучшать защиту своих сайтов!!! 2

@Schulzkafer 74 / 42 / 0 Регистрация: 31.12.2019 Сообщений: 339
	13.12.2020, 15:37 [ТС]	7
	Вот, если кто попадет на эту тему и понятия не имеет как происходит встраивание платежной системы на сайт, этот сайт может быть интересен(новичкам как я должно быть интересно) https://yookassa.ru/developers 0

@JoVan 10 / 7 / 3 Регистрация: 16.09.2012 Сообщений: 20
	18.12.2020, 12:41	8
	Статистика гугла очень даже правильная - на форуме, как и предполагалось, интереса к 3FA хватает лишь на то чтобы посмотреть этот пост, но не на то чтобы написать хоть что либо посмотрев конкретное новое DEMO. И если сфера эта действительно совсем не простая, и никто ей не интересуется, то стоит ли развивать свои познания в ней? 0

@JoVan 10 / 7 / 3 Регистрация: 16.09.2012 Сообщений: 20
	12.01.2021, 16:44	9
	Сообщение от Mihas13 введенный пользователем пароль по любому будет открытым Звучит как аксиома, доказательств не имеющая. Приведу пару легких примеров отличных друг от друга по схеме работы, опровергающих Ваше устное предположение: http://visiotxt.myartsonline.com/ http://visiotxt.myartsonline.com/game/ где пароль и логин могут быть переданы на сервер не в "открытом виде". 0

Опции темы