Версия 1
Мною написано несколько файлов, которые защищают формы авторизации и регистрации Инстанта как от брутфорс-атаки, так и от атаки по словарю. В настоящий момент скрипты проходят тестирование на моем демосайте www.aviakis.net.ru.
Вот некоторые (но не все) характеристики:
1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
2. Защита формы авторизации в админке с помощью дополнительного поля. Не исключает дополнительной защиты папки
/admin с помощью .htaccess. Такой .htaccess мною написан и лежит вместе с другими файлами в установочном дистрибутиве, хотя на демосайте его сейчас нет.
3. Защита форм регистрации. Не секрет, что многие наши ленивые юзеры норовят зарегится, например, под логином zz и паролем 11, а потом удивляются, почему от их имени на сайте происходят разные гадости. Я составила список из примерно 70 слов, которые при авторизации проверяются. Если система находит логин или пароль в этом списке, регистрации не происходит. При необходимости этот список легко дополнить.
Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек. После этого появилась статья в каком-то журнале о всех найденых дырах… Короче, кому хочется, эту старую тему сами ищите.
Смысл в том, что если человек не имеет доступа к кодам скриптов защиты, то выяснить, как они работают, ему не в пример труднее. Это и есть та причина, почему мой скрипт никогда не появится в открытом доступе. Я забочусь о безопасности ваших же сайтов.
В настоящий момент установочный дистрибутив готов для версии 1.5.2. Мне надо еще немного времени, чтобы адаптировать его к 1.5.3. Собственно, для этого надо просто добавить папку languages со всеми файлами и в скриптах вместо вывода текста поставить языковые переменные. Мне так проще было писать скрипты.
Посмотреть скрипты в работе можно, как я сказала, на демосайте www.aviakis.net.ru. Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.
Буду благодарна тому, кто найдет тот или иной косяк в алгоритме для оперативного исправления.
Версия 2
Во второй версии модуль авторизации перезагружается автоматически по истечении времени. То самое юзабилити, за которое ратовал neart. Просили — получите! Чуточку изменила алгоритм защиты. Теперь учтена возможность подбора со сменой ip.
Что будет в Версии 3? Собираюсь адаптировать свои файлы к версии Инстанта 1.5.3. Кроме того, перепишу модуль авторизации по технологии ajax, чтобы формы авторизации подгружались в браузер тогда, когда это нужно.
Я удалила всех пользователей, кто был зарегистрирован на демосайте до настоящего времени, чтобы все, кто хочет, мог еще раз посмотреть, что изменилось в процедуре регистрации по сравнению со стандартной версией.
Кроме того, я поставила все настройки по минимуму, чтобы не надо было по полдня ждать, пока сработает защита.
Брутфорсте на здоровье)))
Светлана.
Мною написано несколько файлов, которые защищают формы авторизации и регистрации Инстанта как от брутфорс-атаки, так и от атаки по словарю. В настоящий момент скрипты проходят тестирование на моем демосайте www.aviakis.net.ru.
Вот некоторые (но не все) характеристики:
1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
2. Защита формы авторизации в админке с помощью дополнительного поля. Не исключает дополнительной защиты папки
/admin с помощью .htaccess. Такой .htaccess мною написан и лежит вместе с другими файлами в установочном дистрибутиве, хотя на демосайте его сейчас нет.
3. Защита форм регистрации. Не секрет, что многие наши ленивые юзеры норовят зарегится, например, под логином zz и паролем 11, а потом удивляются, почему от их имени на сайте происходят разные гадости. Я составила список из примерно 70 слов, которые при авторизации проверяются. Если система находит логин или пароль в этом списке, регистрации не происходит. При необходимости этот список легко дополнить.
Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек. После этого появилась статья в каком-то журнале о всех найденых дырах… Короче, кому хочется, эту старую тему сами ищите.
Смысл в том, что если человек не имеет доступа к кодам скриптов защиты, то выяснить, как они работают, ему не в пример труднее. Это и есть та причина, почему мой скрипт никогда не появится в открытом доступе. Я забочусь о безопасности ваших же сайтов.
В настоящий момент установочный дистрибутив готов для версии 1.5.2. Мне надо еще немного времени, чтобы адаптировать его к 1.5.3. Собственно, для этого надо просто добавить папку languages со всеми файлами и в скриптах вместо вывода текста поставить языковые переменные. Мне так проще было писать скрипты.
Посмотреть скрипты в работе можно, как я сказала, на демосайте www.aviakis.net.ru. Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.
Буду благодарна тому, кто найдет тот или иной косяк в алгоритме для оперативного исправления.
Версия 2
Во второй версии модуль авторизации перезагружается автоматически по истечении времени. То самое юзабилити, за которое ратовал neart. Просили — получите! Чуточку изменила алгоритм защиты. Теперь учтена возможность подбора со сменой ip.
Что будет в Версии 3? Собираюсь адаптировать свои файлы к версии Инстанта 1.5.3. Кроме того, перепишу модуль авторизации по технологии ajax, чтобы формы авторизации подгружались в браузер тогда, когда это нужно.
Я удалила всех пользователей, кто был зарегистрирован на демосайте до настоящего времени, чтобы все, кто хочет, мог еще раз посмотреть, что изменилось в процедуре регистрации по сравнению со стандартной версией.
Кроме того, я поставила все настройки по минимуму, чтобы не надо было по полдня ждать, пока сработает защита.
Брутфорсте на здоровье)))
Светлана.
Во второй версии модуль авторизации перезагружается...
Не за аякс, разумеется, а за позитивное развитие крайне полезного начинания.
Что касается одной или двух или трех попыток - это все легко настраивается. Равно как и время задержки. Я просто выставила от балды, хотя каждый админ сможет сделать все это, как ему нравится - хочет 3 секунды, хочет - 3 года....
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
И кто захочет достанет скрипт и "распотрошит".
Но думаю, те кто способны это сделать не станут биться головой о дверь т.е. брутфорсить,
а влезут в окно.
Взять туже историю о которой напомнила Светлана,
из нескольких способов взлома ни один не был через админку.
P.S. А вообще я за открытые системы, как более надежные. )
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
женская логика порой не понятна мужчинам..))
Маленький вопрос по пункту 1:
В целях конспирации не обязательно отвечать именно здесь - можно в личку написать
Предлагаю провести обсуждение алгоритмов защиты инстанты. Как говорится "одна голова хорошо, а две лучше". Не думаю, что для этого нужно сильно прятаться - кто захочет всё равно сможет найти исходники - просто нужно по-максимуму осложнить жизнь атакующему, но не в ущерб обычным посетителям сайта.
т.е. запрещать вход с этим логином на некоторое время
- во-первых, на экране регистрации сделать проверку на длину пароля и на количество повторяющихся букв и на наличие букв разного регистра. Хакер изначально зная, что минимальная длина пароля, скажем 8 символов и в нём есть цифры и буквы разного регистра плюс задержки через каждые 3 подбора, то и не будет затевать брутфорс.
- во-вторых, я изначально выступал против выставления напоказ логинов пользователей сайта и сейчас ещё раз кину камень в этот огород. Раз уж так хочется, то ввести при регистрации ещё один параметр, "Название домашней папки" которое и будет светиться в пути http:/mybestsite.ru/user/HomePage, а логин убрать с глаз долой.
Но понятное дело - это не к тебе Света, это к разработчикам.
а вообще создайте тикет в багтрекере
Смотрим соцмэтров и что мы видим - тю, ...., блин, ..., совсем не солидно, лажа, отстой и т.д.
Не этим нужно брать.
Я сегодня с утречка немного причесала свои файлы. Кое-где чуточку изменила алгоритм (теперь при проверке пароля обрабатываются и Qwerty и qwerty - вчера забыла это сделать и Qwerty или qwErTy могли оказаться валидными паролями - сегодня уже нет)...ну, и еще кое-где.
Самое главное - теперь страница перегружается автоматически (как и просил neart). Сделано это на скорую руку и проверялось мной в Опере. Плиз, посмотрите другими браузерами.
Всех пользователей, кто зарегился до сегодня, 15 мск, я удалила. Заодно уменьшила время задержки, чтобы вы не позасыпали. Пробуйте зарегится сначала и брутфорсить не забывайте.
Виктору. Спасибо тебе, милый, за поддержку и понимание. На экране регистрации в случае ввода числа символов меньше установленного (сейчас 5) выскочит то самое предупреждение, о котором ты говоришь. К сожалению, минимальное и максимальное число символов сейчас не регулируется, а выставляется при редактировании скрипта. В принципе, немного повозившись, можно вынести это в регулировки, только нужно ли? Вряд ли админ сайта будет каждый день менять длину паролей)))))).
Что касается выставления логинов напоказ в адресной строке - полностью с тобой согласна, но в те механизмы я не лазила....может, когда совсем делать будет нечего)))
Вы совершили ошибку при вводе логина и пароля.... ит.д.
и завис сайта.
---------------
у меня мозила(может это мои проблемы, не знаю, но сайт перестал показывать ввод логина)
хоть забрутфорсся
человек с мозгами и ничего не смыслящий в хакерстве додумается в 5 секунд как обойти вашу защиту
лично я не хакер))
Спасибо!
Буду думать, как переписать js. Проблема наверняка в нем, потому что писалось на скорую руку.
в общем вводим логи и не верный пароль
система нас посылает
но мы вводим упорно дальше
система нас посылает, но между посылами заставляет ждать всё больше и больше времени
посылает до тех пор пока не выскочит страшная табличка, что вы заблокированы!
страница перезагружается и чёрт подери, пропадает форма авторизации
да ну и фиг с ней
меняем IP
и повторяем заново перебор пароля
но мы не ждём когда страница с предупреждением о не верном пароле, будет перезагружаться, а тупо жмём стрелку броузера "назад"
в итоге нам пофигу на фремя ожидания
потом нам пофигу на все страшные таблички о блокировке
но опять же главное чтобы страница не сама вернулась на главную, а после каждой попытки мы сами её возвращали стрелкой "вернутся назад" в меню броузера....
а теперь случилось страшное и мы проморгали момент редиректа на главную
ситема сама нас туда пребросила и о ужас, опять нет формы ввода пароля
да ну и фиг с ней
мы вводим в строке броузера , находясь на сайте разумеется
выводится опять форма авторизации!
ну вот вам простор для фантазии
как предотвратить проход по этим тропинкам
второе , это сделать реальную блокировку пользователя, которого брутфорсят, но как сами понимаете, это не есть хорошо
успехов вам
ну а вообще самая лучшая защита от брутфорса, это пароль типа такого "iuuUT^&6gn^Y)*&R^%Ffhdgd(&E^*&f35g46uyRdcy"
любая блокировка клиента обходится на раз
"есть один моментик, который Светланка, пока не до закрыла,"
в ты вщял и разболтал как сломать ее игрушку. Однозначна "ГАДКИЙ"!и вся любовь)
Прилетели мы в какую-то танковую часть. У них там страшная глушь и скука. Прилетел вертолет - Событие с большой буквы. Пока правак бегал в диспетчерскую подавать заявку на завтра, командир выясняет у местных о гостинице, борттехник дядя Саша чехлит борт, закрывает заглушками воздухозаборники, швартует лопасти....ну, короче, как обычно.
К нам подваливает группа танкистов во главе с майором и просят посмотреть технику. Бортач кивает и продолжает заниматься свими делами. Танкисты долго осматривают борт, издают разные восклицания и междометия. Потом майор обращается к дяде Саше с интересным заявлением:
- Я все понимаю. Я понимаю, как вертолет летит. Я понимаю, как он висит. Но я не понимаю, как он без кардана по земле ездит.
По лицам танкистов видно, что именно этот вопрос их интересует больше всего. А надо сказать, дяда Саша у нас в гарнизоне славился как человек с юмором. Он смотрит так на майора и говорит на полном серьезе:
- Как это без кардана? Кардан на вертолете есть!
Естественно, на лицах танкистов недоверие. Они сами только что заглядывали вертолету под колеса и ничего не увидели. Носовое колесо там самоустанавливающееся, а основные стойки шасси пирамидального типа - хорошо видно, что кроме полуоси и подкоса (которые одновременно являются баллонами высокого давления
Дядя Саша берет отвертку и приглашает всех желающих по одному подняться наверх, под самый несущий винт. Открывает им лючок и предлагает в него заглянуть.
Каждый, кто заглядывает, отшатывается, и спускается с вертолета с совершенно дикими глазами. Я тоже залезла посмотрела - да, карданный вал - с крестовинами, шарнирами Гука и всеми атрибутами. Танкисты как были с оловянными глазами, так и разошлись.
Я у дяди Саши спрашиваю:
- А почему этот кардан так высоко?
А он мне отвечает:
- Понимаешь, Свет, через этот вал от главного редуктора вентиллятор охлаждения двигателей приводится во вращение...
- А как же вертолет по земле рулит?
- Так за счет тяги винта...
Кстати, теперь-то я знаю, что вертолет рулит даже двумя способами: "на ручке" и на "шаге"
Мораль сей басни такова: прежде чем становиться в позу, и заявлять, цитирую:"защита на дурака, притом абсолютного" нужно спросить себя - уж не кардан ли я здесь искал?
Я могу сказать, что искал мой друг в моих файлах. Он пытался подобрать пароль к логину, который состоит из пустого стринга. А потом у него, видимо, айпишники кончились.
Но!Представить себе юзера, который залогиниться на сайте под пустым стрингом, признаюсь, я не смогла, когда обдумывала алгоритм защиты три месяца назад...Да и сейчас не могу.
ведь проблема безопасности для чайников становится все критичней, кроме нее никто этого не делает.
а по поводу системы безопасности могу сказать одно:
1. Кто хостится - требовать от хостера хотя бы элементарных средств защиты.
2. Выставлять ПРАВИЛЬНЫЕ права на папки и файлы, т.к. права 777 на все ни к чему хорошему не приводят, а так же правильные владельцы файлов и каталогов. Ибо если владелец файла пользователь под которым работает веб сервер это по меньшей мере не гуд.
3. Защищать админку нормально, лучше выносить ее на поддомен, пароли нормальные, хтаксцесс и т.п.
4. Удалять не используемы компоненты, удалять ненужные строки в хтаксцесс.
5. Менять префикс таблиц.
6. На рабочем сайте отключать все сообщения об ошибках майскуэл и иже с ним.
7. 403 и 404 ошибки хотябы - делать перенаправление.
--------
а теперь для чайников, хотя бы элементарные вещи - на ПРИМЕРАХ, плиз ?
я скорее любитель дилетант.
на самом деле гугл на запрос безопасность сайта/безопасность веб сервера выдает ОГРОМНОЕ количество инфы.
к тому же я в предыдущем посте все написал вроде ж. что там может быть непонятно? все что я написал обсуждалось в том числе и на этом сайте. Попробуйте сами погуглить разобраться, вникнуть, т.к. не понимая что и зачем делаешь толку не будет, проверено!
<td class="moduletitle"> Авторизация </td> </tr> <tr> <td class="modulebody"> <link rel="stylesheet" href="/modules/mod_auth/css/mod_auth.css" type="text/css" media="screen"><script type="text/javascript" src="/includes/jquery/jquery.js"></script><form action="/modules/mod_auth/js/timer.js" method="POST" name="formName"><input name="delay" value="12" type="hidden"></form><script src="/modules/mod_auth/js/timer.js" type="text/javascript"></script><div id="answer"> <p class="reply">Вы совершили ошибку при вводе логина и пароля.<br></p> <p class="reply">Проверьте язык ввода. <br></p> <p class="reply">Проверьте, не была ли нажата клавиша Caps Lock.<br></p> <p class="reply">Форма авторизации откроется автоматически через <span id="counter">8</span> секунд.<br> </p> <p class="reply">Если Вы забыли свой пароль, обратитесь к администратору сайта для его восстановления.</p> </div><div id="form"> <form action="/login" method="post" name="authform" style="margin: 0px;" target="_self" id="authform"> <table class="authtable" border="0" cellpadding="2" cellspacing="0" width="100%"> <tbody><tr> <td width="86">Логин:</td> <td width="917"><input name="login" id="login" size="15" type="text"></td> </tr> <tr> <td height="30" valign="top">Пароль:</td> <td valign="top"><input name="pass" id="pass" size="15" type="password"></td> </tr> <tr> <td colspan="2" align="right" height="27" valign="top"><table border="0" cellpadding="4" cellspacing="0" width="100%"> <tbody><tr style="font-size: 10px;"> <td width="13%"><input style="width: 60px;" name="Submit" value="Вход" type="submit"></td> <td align="right" width="87%"> <input name="remember" id="remember" value="1" type="checkbox"> Запомнить<br> <a href="/0/passremind.html">Забыли пароль?</a></td> </tr> </tbody></table></td> </tr> </tbody></table> </form> </div> </td>Кардан +1.
Я не утверждаю, что полностью обезопасила Инстант - не та у меня квалификация. Но от школьника, который скачал брутфорс, написаный умными дядями, сейчас формы авторизации мной все-таки защищены. Другая задача и не ставилась.
А в стандартном Инстанте, простите сейчас, что? Чистое поле! Проходи кто хочет. А я хоть заборчик поставила. На котором трусы сушатся.
феба, ты его либо убирай, либо блокируй так же
А можно ли просто переименовать папку admin , много проблем сразу отпадет.