Real Life Security durch Dunkelheit?
Der Schlüssel zur Eingangstür ist unter einem Felsen in der Nähe oder unter der Willkommensmatte oder auf einem hohen Geländer versteckt.
Dies sind alles Fälle von Sicherheit durch Unklarheit, da es für jeden offen zugänglich ist, aber die meisten Menschen werden es nicht finden können, ohne große Mengen an Suchen. Ein Angreifer kann jedoch direkt hineingehen.Auf einer Website, auf der ich einige Vertragsarbeiten gemacht habe, habe ich bemerkt, dass sie doppelt gehashte Passwörter gespeichert haben. Aus dem Speicher speicherten sie etwas wie
%Vor%Als ich mich fragte, was der Grund dafür war, fand ich heraus, dass der Typ, der das Kontoerstellungs- / Anmeldeskript geschrieben hatte, über Wörterbuchangriffe gelesen hatte. Er dachte, dass niemand jemals daran denken würde, ein Wörterbuch zu erstellen, in dem sie Eingaben mit md5 und sha1 hashen.
Ich habe das System verbessert, indem ich eine zufällige Salzspalte zu ihrer Benutzertabelle hinzugefügt habe. Ich habe das Doppel-Hashing jedoch verlassen. Es tut nichts, um die Sicherheit des Systems zu verletzen, und um ehrlich zu sein, dachte ich, es wäre ziemlich schlau für jemanden, der nicht viel über Sicherheit wusste, um darüber nachzudenken. p>
Manche Leute machen ihr JavaScript schwierig zu lesen (und deshalb hacken), indem sie Verschleierung benutzen. Google gehört zu den Nutzern dieser Technik. Auf der einfachsten Ebene ändern sie die Variablen- und Methodennamen in einen einzigen unergründlichen Buchstaben. Die erste Variable heißt "a", die zweite heißt "b" und so weiter. Es gelingt, das Javascript äußerst schwierig zu lesen und zu folgen. Und es fügt dem geistigen Eigentum, das in dem JavaScript-Code enthalten ist, etwas Schutz hinzu, der in den Browser des Benutzers heruntergeladen werden muss, um verwendbar zu sein, so dass es allen zugänglich gemacht wird.
Zusätzlich zu der Schwierigkeit, den Code zu lesen, reduziert diese Verkürzung der Variablennamen die Größe des JavaScript-Codes, der in den Browser des Benutzers heruntergeladen werden muss. Theoretisch kann dies den Netzwerkverkehr reduzieren.
Hier ist ein Artikel über die Verschleierung von Google und hier eine Liste der verfügbaren Tools.
Gesehen: Websites verwenden eine komplexe URL, um auf Ajax-Komponenten zuzugreifen, anstatt sie mit einem Kennwort zu schützen, wie zum Beispiel:
domain.com/3r809d8f09feefhjkdjfhjdf/delete.php?a=03809803983djfhkjsdfsadf
Die Zeichenfolge ist konstant geblieben, die Abfrage ist zufällig und wurde entwickelt, um Angreifer zu stoppen.
Verbesserung: Beschränken Sie die Seite auf den Zugriff nur von bestimmten IP-Adressen. Fügen Sie der Abfrage eine Authentifizierungszeichenfolge hinzu, bei der es sich um einen gesalzenen Hash der Zugriffszeit handelt.
In einem eher "realen" Beispiel weiß ich nicht, ob es beabsichtigt ist oder nicht, aber ich mag die Art, wie keine der Türklingeln in meinem Block irgendwelche Namen auf ihnen hat und dass ihre Zahlen keine Korrelation zu haben scheinen zu den Wohnungsnummern wie auch immer. Ie. Ring auf # 25 für Wohnung 605, # 13 für Wohnung 404 und so weiter. :)
Ähnlich wie @ stechs Lösung.
Einige der Admin-Seiten in unserer Anwendung im Internet prüfen, ob ein lokaler IP-Subnetzbereich vorhanden ist, sonst wird der Zugriff verweigert. Der Zugriff auf Verbesserungen ist auf Benutzer beschränkt, die sich im Netzwerk befinden oder mit denen VPN-Verbindungen bestehen.
Zurück in den alten DBase / Clipper-Tagen arbeitete ich für einen Typen, der eine Anwendung für einen Freund von ihm entwickelte. Dieser Freund wollte etwas "heimlich" zugängliches Programm oder Daten haben (ich erinnere mich nicht), die ein ihm nur bekanntes Passwort erforderten.
Die Lösung, so wurde mir gesagt, war, dass Clipper eine DOS-Eingabeaufforderung im geheimen Verzeichnis mit schwarzem Text auf schwarzen Hintergrundfarben geöffnet hat (einige ANSI-Steuerzeichen haben dies erreicht).
Der Benutzer musste das Passwort eingeben, aber da dies die Eingabezeile der DOS-Eingabeaufforderung ist, war das "Passwort" wirklich der Name einer Batch-Datei, die dann ausgeführt wurde.
Ich habe einmal eine Fotowebsite gesehen, auf der Sie einige Zeichen von der Foto-Miniaturansicht entfernen können, um die Vollversion zu erhalten.
Viele professionelle Fotografen-Websites verwenden Javascript, um zu verhindern, dass Benutzer mit der rechten Maustaste auf Bilder klicken, um "als ... zu speichern". Die meisten dieser Websites machen auch keine Wasserzeichen.
Früher habe ich mit gesperrten Referer-Headern gesurft ... es ist ziemlich überraschend, wie viele Websites in die Luft gehen oder dich ausflippen, wenn sie nicht wissen, woher du kommst.
Eine Website hatte eine Umfrage und verwendete Cookies, um zu verhindern, dass Sie mehrfach abstimmen. Sie könnten diesen Cookie einfach löschen und weiter abstimmen. Und Sie könnten auch alles mit wget scripten.
Ein Anbieter, mit dem wir zu tun haben, verlangt, dass wir den Benutzernamen und das Passwort in der Querystring in ROT-13 "verschlüsselt" veröffentlichen. Format. Kein Witz.
Sicherheit durch Dunkelheit ist eine gültige Taktik. Viele Leute haben es abgelehnt, mit Versionsinformationen als Best Practice für FTP und Apache zu antworten. Honeypots können als verdeckte Übung angesehen werden, da der Angreifer das Layout des Netzwerks nicht kennt und in sie hineingesaugt wird. Eine Hochsicherheitssite, die ich kenne, weist ihren Benutzernamen durch eine fünfstellige alphanumerische Phrase (wie '0a3bg') anstelle der Verwendung logischer Benutzernamen zu. Alles, was das Einbrechen in ein System erschwert oder länger dauert, ist eine gültige Maßnahme.
Sicherheit ausschließlich durch Dunkelheit ist schlecht.
Das Beispiel, das ich die ganze Zeit sehe, ist etwas, das im Quellcode gemacht wird, von dem der Entwickler annimmt, dass es niemand jemals sehen wird. Das sieht man besonders bei Kryptoschlüsseln, die direkt in den Quellcode eingebettet sind. Oftmals ist es nicht einmal eine Frage des Dekompilierens des Codes, sie könnten einfach nur die Bibliothek benutzen.
Die Lösung besteht immer darin, dem Entwickler beizubringen, dass jemand den Quellcode hat und diesen gegen Sie verwenden kann.
Wir bemühen uns sehr, Software-Namen und Versionsnummern zu verbergen.
Dh. Ändern des Namens und der Version des Tomcat-Servers in einige Anführungszeichen und Zufallszahlen (wie 666), Ändern des Namens und der Versionsnummern von normalen JavaScript-Bibliotheken wie scriptaculous und prototype und so weiter.
In einem aktuellen Projekt verwenden wir das Google Web Toolkit (GWT) und dieses kleine Ding kompiliert Java zu JavaScript (zu dem Sie kaum Kontrolle haben) und enthält die Zeichenfolge "GWT" und die Versionsnummer. Total inakzeptabel natürlich, also müssen wir ein Skript erstellen, das nach dem Kompilieren von GWT ausgeführt wird, um alle diese Referenzen (!) Zu entfernen.
Tags und Links security