Вопросы безопасности в контексте административно-технических работ на Форуме

Модераторы: Itsme, AlexanderK, Ellis Gloster, Pavel, Антон Донецкий, Дмитрий Алексеевич

Ответить
Dud
Участник
Сообщения: 40
Благодарил: 4 раз
Поблагодарили: 12 раз

Вопросы безопасности в контексте административно-технических работ на Форуме

Сообщение Dud »

В связи с уязвимостью http протокола, посредством которого осуществляется связь с Форумом, существует угроза несанкционированного доступа к административным функциям Форума, что приведет к потере информации и утечке персональных данных. Например, из общедоступного нешифрованного канала связи будет перехвачен токен -- строка, удостоверяющая подлинность отправителя. Этот токен скопирован в заголовок вредоносного запроса с фальшивым обратным адресом и движок (программа) форума исполнит этот запрос как подлинный.
Для минимизации риска предлагаю:
1. Разделять обмен информацией и технические работы. Обмен информацией осуществлять с аккаунта со стандартными правами. Привилегированный аккаунт оставить для нужд администрирования и получать доступ к нему по отдельному регламенту, в идеале -- протоколу.
2. Осуществлять доступ к привилегированному аккаунту с локального компьютера (т.е. с того же компьютера, на котором расположен Форум), в таком случае запросы не попадут в сеть Интернет в незашифрованном виде. Вовсе необязательно каждый раз оперировать компьютером физически. Достаточно проложить к нему туннель (шифрованный канал связи) с рабочего устройства. Для реализации рекомендую использовать протокол ssh и одноименное программное обеспечение с открытым исходным кодом. Принцип работы ssh-туннеля таков: программа принимает все запросы, которые поступают на определенный порт рабочего компьютера с него же (без посредника в виде Интернета) по адресу http://localhost:$(port), где $(port) -- числовой идентификатор порта, шифрует запрос и передает его серверу, на котором расположен Форум, расшифровывает и сообщает (без Интернета) порту, через который осуществляется доступ к Форуму.
3. Даже с внедрением протокола https, технические работы лучше по-прежнему осуществлять через ssh-туннель. Разница в криптографической стойкости объясняется большим количеством информации, которая шифруется на стороне клиента открытым ключом сервера и затем публикуется в незашифрованном виде. Восстановить открытый ssl ключ гораздо проще, чем ключ ssh-туннеля, который используется только для технических работ
скрытый текст: показать
Прошу шифровать направленные мне личные сообщения ключом по ссылке
https://pastebin.com/vC7Q5HHH
Запросят пароль: Lhyx1n66h4
Fingerprint ключа:

Код: Выделить всё

CFD4 232A 100A 9DA4 319D  C0DA CC00 8970 2331 5FFD
Аватара пользователя
Lucrecia
Участник
Сообщения: 325
Благодарил: 45 раз
Поблагодарили: 79 раз

Re: Вопросы безопасности в контексте административно-технических работ на Форуме

Сообщение Lucrecia »

Если слышите, что где-то кого-то взломали из конспирологов - это 99 процентов делают их же кураторы, за просчеты и проколы. Никого постороннего масонские спецслужбы не ломают - это не по понятиям. У них есть другие методы как разрушить чей-то ресурс, это целое искусство, исполнители которого, может быть, даже удостаиваются особых почестей в ордене за выполненную работу.
Dud
Участник
Сообщения: 40
Благодарил: 4 раз
Поблагодарили: 12 раз

Re: Вопросы безопасности в контексте административно-технических работ на Форуме

Сообщение Dud »

Предлагаю масонам изящную схему обрушения ресурса:
Поскольку протокол http, не поддерживает проверку подлинности отправляемых клиентам сообщений, текст сообщений ряда пользователей подменяется на сообщения всяких фриков. Читатели крутят пальцем у виска и проходят мимо. А подвергшиеся атаке пользователи, чьи идентификаторы передаются незашифрованными, видят настоящую версию форума, как и, например, любой гость из Тайланда.
Прошу предположить, достаточно для получения особых почестей или стоит придумать что-нибудь потоньше?
скрытый текст: показать
Прошу шифровать направленные мне личные сообщения ключом по ссылке
https://pastebin.com/vC7Q5HHH
Запросят пароль: Lhyx1n66h4
Fingerprint ключа:

Код: Выделить всё

CFD4 232A 100A 9DA4 319D  C0DA CC00 8970 2331 5FFD
Аватара пользователя
Lucrecia
Участник
Сообщения: 325
Благодарил: 45 раз
Поблагодарили: 79 раз

Re: Вопросы безопасности в контексте административно-технических работ на Форуме

Сообщение Lucrecia »

Dud писал(а): Сентябрь 4, 2022, 16:59:10 Прошу предположить, достаточно для получения особых почестей или стоит придумать что-нибудь потоньше?
Не то. Не нужны были бы тролли и ботофермы, на которые тратятся огромные средства, если можно просто заплатить хакеру. Это как, к примеру, в футболе, прострелить ногу игроку команды противника. Общение в интернете - это не не война, а игра, где масоны - рефери. Убить посещаемость, залить флудом, сделать нечитабельным, игнорить поисковиками и вообще не упоминать - вот способы, а не пистолет.
Ответить

Вернуться в «ПОЖЕЛАНИЯ ОБЩЕСТВЕННОСТИ по УЛУЧШЕНИЮ ФОРУМА»