Bezpečnost práce s webovými aplikacemi

Pěkný článek pane kolego. Jen bych dodal, že ani s těmi SSH klíči to taky není nejlepší nápad - dnešní viry jsou zaměřené na to, že vytahnou hesla z total commanderu a jiných. Viry zítra můžou udělat to samé s klíči od puttyny/winscp. Takže skutečně nic nikam neukládat, volit jedinečná a zapamatovatelná hesla a přežít to :)

A hlavně - nespoléhat na antivir! Z praxe vidím, že i přes plně aktualizované antiviry se povede zavirovat počítač tak, že to vyřeší až reinstall. Tzn. neotvírat neznámé soubory (nemá smysl si něco nalhávat, nejvíc toho šlo a stále jde přes porno/warez).

Ono stačí si položit otázku - jak se mi dostane do PC virus? Toto ať si zodpoví každý uživatel sám. Osobně na vlastních PC nepoužívám žádný antivirus, firewall a nikdy mi nic nebylo odcizeno ani zavirováno. Jak na to? Nespouštět a neinstalovat neznámé aplikace (obdržené mailem od neznámého odesílatele, ******, keygeny, patche a podobné svinstvo), nelozit na erotické weby, neinstalovat žádný software pro stahování / sledování erotického obsahu. Je to skutečně jednoduché. Kdo se s takovýmto přístupem a využitím sítě nestotožňuje, jeho věc, určitě ať si přečte linkovaný článek.

armin
Zas tak jednoduché to není. Pokud máš třeba "starý" Firefox 3.0.9, tak stačí zneužít (zvežejněnou) vysoce kritickou zranitelnost a je po ptákách.

Ahoj Matěji,

je to bohužel tak, v posledních týdnech se webové viry značně rozmohly, proto jsme i my začátkem dubna zanesli informace o této problematice do znalostní báze, viz.:
Jak odhalím stránky napadené virem?
Jak chránit FTP před zneužitím?

Dále jsme přistoupili k nové bezpečnostní politice v zabezpečení klientských FTP účtů. FTP účty klientů jsou defaultně zamknuty a klient si může nadefinovat vlastní IP adresy/rozsahy pro přístup k účtu. Pokud tedy útočník získá přihlašovací údaje k účtu z napadeného počítače, jsou mu k ničemu, provede-li útok z jiné IP adresy, než kterou klient povolil.

Samozřejmě souhlasím s tím, že každý uživatel internetu by se měl řídit alespoň základními bezpečnostními pravidly.


S přáním hezkého dne

Petr Benešovský
ONEbit.cz

Určitě souhlasím s osvětou, zároveň si však myslím, že jakýkoliv nástroj pro zvýšení bezpečnosti klientských účtů je žádoucí.

V drtivé většině se přepis souborů na FTP děje ze zahraničních IP adres s odcizenými přístupovými údaji a zde právě útočník naráží na firewall, který ho k účtu nepřipustí.


Petr Benešovský
ONEbit.cz

Pánové, víte co se říká odjakživa? V jednoduchosti je sila. A pokud tuto pravdu aplikujeme na total commander, tak řešení je naprosto triviální, uvedu v pár bodech:
1) dejme tomu že mám v total commanderu uložen ftp přístup s heslem třeba "MojeFTPheslo2009" (bez uvozovek)
2) víme, že vir nemá problém dešifrovat uložené ftp přístupy, tedy má login(-y) jak na dlani
3) uložím si ftp přístup resp. jen heslo tak, aby mi scházel buď jeden znak, nebo přebýval, třeba "MojeFTPheslo2009abc"
4) připojím se s tímto nesprávným heslem, ftp server mi hodí odezvu že nesedí login, klepnu na "Re-enter":

Poté mi vyskočí okénko s předepsaným uživatelským jménem:

to pouze potvrdím, nakolik sedí a pak mi vyskočí okénko s mým uloženým heslem (špatným), kde vím že mi buď chybí pár znaků, nebo přebejvá, tedy v tomto ukázkovém příkladě umažu tři poslední znaky:

zmáčknu enter a jsem na ftp. Je to rozhodně mnohem pohodlnější než pokaždé ručně zadávat celé heslo. Případný vir s neúplným, nebo až moc úplným heslem nic nezmůže, podle logů ftp serveru se jedná vždy pouze o jedno připojení, pokud je platné, tak postup asi zná většina lidí, pokud se nepovede dostat na ftp, tak se proste toto připojování neopakuje.

Je to jednoduché, triviální, šikovné. Každopádně tuto problematiku vyřeší verze 7.50, kdy všechny hesla budou šifrované a chraněné na lepší úrovni než x let doposud.

armin
Toto je naozaj dobry napad.

armin
Výborný nápad - teď už zbývá jen proškolit ty miliony uživatelů Total Commanderu :-)