nns2000 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Думаю, имеет смысл предоставить возможность входа на форум по SSL, по крайней мере, чтобы не светить пароль в plain-text. Всего записей: 9 | Зарегистр. 29-01-2002 | Отправлено: 11:31 29-01-2002

DimoN Tech administrator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а держать форум в двух местах имеет смысл?   Добавлено имхо это уже параноя ---------- Мы Баним с улыбкой :) ™ Всего записей: 7528 | Зарегистр. 19-04-2001 | Отправлено: 02:59 31-01-2002

Diman Чайник без крышки Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Думаю, имеет смысл предоставить возможность входа на форум по SSL, по крайней мере, чтобы не светить пароль в plain-text. Присоединяюсь. Во всяком случае, стоит обдумать. Хотя, форум для авторизации использует куки, которые тупо голым текстом передаются при каждом запросе, а для авторизации через SSL, с последующим выходом из защищенного режима, надо бы через идентификатор сессии, тогда это будет более безопасно. А если все время сидеть в защищенном режиме, ИЕ будет матюгаться насчет Insecure Items. Короче, потребуется доработка системы авторизации. Охота ли хозяевам этим заниматься...   DimoN Цитата: а держать форум в двух местах имеет смысл?   Звиняюсь, но ты немного неправ  Все прекрасно делается безо всяких двух мест. Есть два варианта - 1) оставить все как есть, SSL или нет - контент один и тот же. Но на паге неизбежно будут ссылки на сторонние сайты, при этом броузер будет ругаться (см. выше) Это не канает. 2) переработать систему авторизации. юзер в защищенном режиме сабмитит пароль и ему в куки дается не логин/пароль, а идентификатор сессии, который, опционально, действителен только с заданного IP, а угон его третьими лицами ничего не дает. Вот тогда будет (до определенной степени) безопасно, и уж точно безопаснее чем сейчас. После получения идентификатора происходит выход из защищенного режима через редирект в обычный режим. Такая схема (насколько я вижу) используется, например, на Hotmail. Однако, реализовать это - огромный гимор, потребуется капитальная переделка. 3) кто знает еще вариант?   Скромнейшее ИМХО. Могу заблуждаться. Ответственности не несу. Всего записей: 779 | Зарегистр. 27-09-2001 | Отправлено: 08:17 31-01-2002

Anna Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Мне нужен совет \помощь по следующему вопросу:   Мой пров (вне СНГ) без сомнения следит - особенно если привлекли внимание чем-то (сканированием, хождением на определенные "плохие" сайты, итд). Уверена что логирует траффик определенных юзверей. Может не весь траффик, а выборочно по фильтрам каким-нибудь. Более того, определенные компетентные органы также уделяют внимание  прослушиванию траффика на сетке (слыхали про проэкт "кaрнив0р"?). Причем не только на английском - сделать перевод через програму-транслятор сейчас не сложно.     К большинству под-форумов это вероятно не относится. Но в андеграунде и варезнике много таких тем, что пользователи могут сильно привлечь внимание (тем что они написали и отправили на форум).   Какие меры предосторожности по мнению администрации необходимы? Имеет ли смысл дать возможность соединения по ssl? ---------- http://www.againsttcpa.com/tcpa-faq-en.html http://www.google-watch.org/gmail.html ZoneAlarm - Spying for Years Всего записей: 1116 | Зарегистр. 11-11-2002 | Отправлено: 19:01 12-01-2006

scales01 Corvus Albus Viridis Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Anna Цитата: определенные компетентные органы также уделяют внимание  прослушиванию траффика на сетке (слыхали про проэкт "кaрнив0р"?). Причем не только на английском - сделать перевод через програму-транслятор сейчас не сложно. Не думаю, что вопросы, обсуждаемые здесь, даже в "закрытых" разделах, настолько интересуют "компетентные органы". Их интересы лежат в других областях (в основном - террор и безопасность критических инфраструктур), и ресурсы направлены именно туда. Пока здесь не начнут обсуждать способы совершения терактов, саботажа деятельности банковских и коммуникационных систем и планировать государственный переворот, вряд ли нужно опасаться "органов". ---------- Не терпится стать мембером? Всего записей: 2969 | Зарегистр. 18-06-2005 | Отправлено: 19:28 12-01-2006

Anna Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору scales01 Везде по-разному. Где-то так как ты написал.  А где-то совершенно наоборот. Есть деньги и резурсы ловить, судить и штрафовать\сажать за такие вещи как нарушение копирайта (варезничество), не говоря уже про всякий хакинг и кардинг. ---------- http://www.againsttcpa.com/tcpa-faq-en.html http://www.google-watch.org/gmail.html ZoneAlarm - Spying for Years Всего записей: 1116 | Зарегистр. 11-11-2002 | Отправлено: 22:24 12-01-2006

scales01 Corvus Albus Viridis Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Anna Цитата: ловить, судить и штрафовать\сажать за такие вещи как нарушение копирайта (варезничество),   Этим занимаются не спецслужбы, а правоохранительные органы. У них ресурсов обычно поменьше, равно как и возможностей заниматься тем, что происходит вне их страны, кроме того они сами вынуждены действовать "законными" методами через суды, провайдеров, логи и т.д. Цитата: не говоря уже про всякий хакинг и кардинг.   А этого здесь практически нет, разве что вот...   Добавлено: Хотя, если серьёзно... всё может измениться, гарантировать ничего нельзя. ---------- Не терпится стать мембером? Всего записей: 2969 | Зарегистр. 18-06-2005 | Отправлено: 23:17 12-01-2006 | Исправлено: scales01, 23:21 12-01-2006

Advanced_Guest Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору С другой стороны, допустим провайдеры логируют инфу. допустим ты воспользуешься SSL.     и тогда в логе будет всё равно видно дату и адрес куда ты конектился.   Осталось только узнать твой ник на форуме, и дальше  - все твои посты известны. ---------- The Abyss - UO, LA2, Ботва, BSFG Всего записей: 2446 | Зарегистр. 14-04-2002 | Отправлено: 22:44 15-01-2006

xntx хнотик-багоискатель Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Advanced_Guest Цитата: Осталось только узнать твой ник на форуме, и дальше  - все твои посты известны. а как доказать что ник именно твой? и что писал им вообще ты... ---------- Hello world! Всего записей: 5169 | Зарегистр. 15-02-2003 | Отправлено: 21:43 16-01-2006

batva crazy administrator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Advanced_Guest Цитата: и тогда в логе будет всё равно видно дату и адрес куда ты конектился.     Там не будет конкретных линков, а только хост. То есть узнать куда ты ходил, и что постил не представляется возможным. То же самое и с ПМ..   Цитата: Осталось только узнать твой ник на форуме, и дальше  - все твои посты известны. интересно, каким образом можно узнать ник.         Всего записей: 12593 | Зарегистр. 07-01-2001 | Отправлено: 23:13 16-01-2006

Advanced_Guest Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору batva Цитата: интересно, каким образом можно узнать ник.      если везде использовать SSL, или на каждом форуме новый ник - от да, сложно.   Иначе такой пример: (правда "улики" косвенные, не думаю что они будут приниматьяс в суде, но тобой могут заинтерисоваться )     логируеться что ты заходил на какой то сайт по HTTP без шифрования => твой ник там известен)     Дальше, смотриться.. на рубоарде есть такой же ник , и он постит только когда твой комп бывает онлайн и только когда ты запрашиваешь сайт рубоарда.     Когда же ты не онлайн - то он молчит.   Как доказательство для суда - конечно не подходит. А вот как "промежуточную улику" - почему бы и нет ?   Осталось только доказать что ты на форуме это ты в реале. (а вот тут уже по другому.) Как простейший прмер - послать тебе ЛП, со ссылкой со спец кодом который никто не знает, и попросить тебя зайти туда. Одновремённо логировать на на твоём провайдере что ты запрашивал данный URL, и на хостере что только ТЫ запрашивал этот сайт).   (немного утопично , но всё же.) ---------- The Abyss - UO, LA2, Ботва, BSFG Всего записей: 2446 | Зарегистр. 14-04-2002 | Отправлено: 16:20 17-01-2006

Компьютерный форум Ru.Board » Ru.Board » Общие вопросы по Ru.Board » Вход на форум по SSL

articlebot (05-02-2017 13:50): А SSL будет?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование