Új hozzászólás Aktív témák
-
stribika
csendes tag
3 féle veszély leselkedik a jelszavakra:
- snifferrel ellopják
- valamelyik programban található sebezhetőséget kihasználva ellopják
- bruteforszoljákKönnyen belátható, hogy a jelszavak mentésével a 3. kockázatát csökkenthetjük a 2. rovására. Nem lehet ugyanis elegendő számú véletlenszerűen generált jelszót megjegyezni. Én csak néhányat tudok, pl userjelszó, google jelszó, banki jelszó, diszkjelszó, jelszókezelő jelszó, a többit megjegyeztetem. Korábban is volt már egy ilyen hiba, azóta használok noscriptet.
Lehetne valamilyen rendszert kitalálni, ahol a jelszavak 2 részből állnak, egy azonos véletlenszerű részből és egy megjegyezhető, oldalanként változó részből. Ezt viszont igen nehéz követni, mikor egyes oldalakon az a szabály, hogy a jelszó min 8, max 9 hosszú, legalább 2x annyi betű van benne, mint szám, és nem lehet benne 8 és x.
-
stribika
csendes tag
válasz
julius666
#51
üzenetére
Ez a noscript cucc XSS ellen sokszor megvéd úgy is, hogy a sebezhető oldalt engedélyezted. Általában nem az a helyzet, hogy egy oldal, amit tényleg használsz, el akarja lopni a jelszavadat. Inkább valaki ilyen oldalra linkel fórumpostban, te meg ráklikkelsz, a cél oldalt eszedben sincs használni. Ez, vagy XSS, ami meg gyakran más domainről hozza be a kódot.
És nem kell minden oldalt engedélyezni, ami nem működik, lehet keresni megbízhatóbbat, vagy olyat, amit hozzáértők csináltak. Tapasztalatom szerint a legtöbb oldal megy js nélkül, esetleg kevesebbet tud. (Végül is a googlebot sem futtat js-t, mégis látja.) De ha úgy használod, hogy ha észreveszed, hogy valami nem megy, akkor gondolkodás nélkül engedélyezed az oldalt, az is sokat használ. Pl egy fórumon nem is fog hiányozni a VPS szövegdoboz, jó lesz a sima is.
A legjobb, hogy néhány oldal _jobban használható_, ha letiltod. Láttam olyanokat, hogy engedélyezve nem tudsz szöveget kopipésztelni, képet menteni onnan, vagy kiírja, hogy ne használj adblockot, jóval lassabban tölt be, stb.
Mindezek ellenére sem lehetsz teljesen biztonságban, nyugodtan lehet kihasználható hiba a HTML vagy CSS parserben is, a HTTP kliens implementációban, vagy akár a TCP/IP stackben.
Új hozzászólás Aktív témák
it Néhány nap múlva a biztonsági szakember bemutatójából többet is megtudhatunk, ám az információk szerint nagyon nem ajánlott a böngészőben tárolni a jelszavakat.
