HTTP- র মাধ্যমে পাসওয়ার্ডগুলির জন্য আক্রমণকারী ভেক্টরগুলি কী কী?


10

আমি কোনও গ্রাহককে লগইন প্রয়োজন এমন কোনও ওয়েব সাইটের জন্য এসএসএল প্রদান করার জন্য বোঝানোর চেষ্টা করছি। আমি নিশ্চিত করতে চাই যে আমি যে প্রধান পরিস্থিতিগুলি সঠিকভাবে বুঝতে পেরেছি যাতে কেউ যে পাসওয়ার্ডগুলি প্রেরণ করা হচ্ছে তা দেখতে পায়।

আমার বোধগম্যতা হ'ল পথে যে কোনও হুপে কী পাঠানো হচ্ছে তা দেখতে প্যাকেট বিশ্লেষক ব্যবহার করতে পারেন । এর জন্য মনে হচ্ছে যে কোনও হ্যাকার (বা তাদের ম্যালওয়্যার / বোটনেট) প্যাকেটটি তার গন্তব্যে পৌঁছাতে যে হप्सগুলির যে কোনও হ্যাপের মতো একই সাবনেটে রয়েছে। এটা কি সঠিক?

এই সাবনেট প্রয়োজনীয়তার কিছু গন্ধ ধরে নিলে সত্যটি ধরা পড়েছে, আমার কি সমস্ত হপগুলি বা কেবল প্রথমটির বিষয়ে চিন্তা করা দরকার? প্রথমটি যে আমি স্পষ্টতই উদ্বিগ্ন হতে পারি যে তারা যদি সর্বজনীন ওয়াইফাই নেটওয়ার্কে থাকে তবে যেহেতু যে কেউ শুনতে পাচ্ছে I আমি কী ভেবে উদ্বিগ্ন হওয়া উচিত প্যাকেটগুলি এর বাইরেও ভ্রমণ করবে? নেটওয়ার্ক ট্র্যাফিক সম্পর্কে আমি এক টন জানি না, তবে আমি ধরে নেব এটি বড় বাহকগুলির ডেটা সেন্টারগুলির মধ্য দিয়ে প্রবাহিত হচ্ছে এবং সেখানে প্রচুর রসালো আক্রমণকারী ভেক্টর নেই, তবে দয়া করে আমি ভুল হলে আমাকে সংশোধন করুন।

প্যাকেট বিশ্লেষকের সাথে কারও কথা শুনার বাইরে কি অন্য ভেক্টররা উদ্বিগ্ন হতে পারে?

আমি একটি নেটওয়ার্কিং এবং সুরক্ষা নুব, সুতরাং আমি যদি এর মধ্যে কোনওরকম ভুল পরিভাষা ব্যবহার করি তবে নির্দ্বিধায় আমাকে নির্ধারণ করুন।


সাইটে যদি ব্যাংকিং বা আর্থিক বিবরণ, ব্যক্তিগত তথ্য থাকে, তবে লগইন পদক্ষেপের জন্য এসএসএল পূর্ব-প্রয়োজনীয়। এটি যদি সহজে হ্যাক করা যায় তবে তা হবে।
মিচ গম

2
আমি এটি বন্ধ করার কোনও কারণ দেখতে পাচ্ছি না। এটি প্রোগ্রামিং সম্পর্কিত।

ভাগ করা অ্যাক্সেস পয়েন্ট থেকে যে কেউ এই সাইটটিতে যাবেন তার নিজের ক্রেডিট গ্রহণ করবে, এমনকি এপি নিজেই এনক্রিপশন ব্যবহার করে (কারণ সেখানে প্রত্যেকের কাছে কী আছে)। লোকেরা যদি অন্য সাইটে তাদের ক্রেডিট পুনরায় ব্যবহার করে, তবে এটি সমস্যা।
অ্যারন

উত্তর:


3

অন্যরা এখানে উল্লেখ করেন নি সেদিকে লক্ষ্য রাখার কিছু বিষয় হ'ল কিছু ব্রাউজার আপনার ফর্মের ডেটা ক্যাশে করে। এসএসএল সাইটগুলিতে ডিফল্ট আচরণ সাধারণত আপনি "আমার পাসওয়ার্ড সংরক্ষণ করুন" পছন্দ না করে কোনও কিছু ক্যাশে না করা। সাধারণত পাসওয়ার্ডের ক্ষেত্রগুলি যাইহোক ক্যাশে হয় না, তবে আমি কিছু অদ্ভুততা দেখেছি (সাধারণত ক্রেডিট কার্ডের তথ্য, যা আমি জানি আসলেই প্রশ্নের বিষয় নয়)।

অন্যান্য বিষয় লক্ষণীয় হ'ল টিএসপি হ্যান্ডশেক থেকে এসএসএল এনক্রিপশন শুরু হয়। একবার এসএসএল এর অধীনে আপনি এইচটিপিকে এসএসএল থেকে এসএসএল ওভার এসটিএল থেকে এসএসটির চেয়ে আলাদা করতে পারবেন না (পোর্ট নম্বরের মাধ্যমে অনুমানগুলি বাদ দিয়ে)।

আপনি "আমি কেবল ব্রাউজ করছি" অনুরোধ থেকে লগইন অনুরোধটিকে পৃথক করতে পারবেন না, এটি হ্যাকারদের থেকে পৃষ্ঠা-প্রবাহকে বিস্মৃত করে এবং এটি নিশ্চিত করে যে কেবল আপনার পাসওয়ার্ড-ডেটা নিরাপদ নয়, তবে আপনার ব্রাউজিং ইতিহাস / কুকি ডেটা / এবং যে কোনও ব্যক্তিগত অ্যাকাউন্ট যা আপনার অ্যাকাউন্টের সাথে যায়।

সমস্ত সম্ভাব্য আক্রমণগুলি আপনি যে বর্ণালী থেকে কাটেন সেগুলি থেকে যদি আপনি মধ্য-মধ্য-মধ্যের আক্রমণগুলি সরিয়ে দেন তবে সর্বদা এটি আপনার সাইটের 'নিরাপদ' তা নয়। এছাড়াও অঞ্চলবিভাজন নীতি উচিত XSS আক্রমণের থেকে আপনাকে রক্ষা আপনি একটি জোন-পরিবর্তন করার হবেন যেহেতু যদি আপনার ব্যবহারকারী আউট আপনার সাইটের পুনরায় নির্দেশ করতে সাহায্য করে।


"বন্দর নম্বর দিয়ে অনুমান করা"? বন্দরটি সাধারণত এসএসএল (এইচটিটিপি বা এফটিপি) জন্য 443 হত না?
ইটকার

4

ডেটাটি প্রথম বা শেষ পর্যায়ে নয়, রুটটিতে যে কোনও জায়গায়ই অরক্ষিত। এটি স্থানান্তরিতভাবে জড়িত একটি সিস্টেম ব্যবহারকারীর নাম, পাসওয়ার্ড এবং অন্যান্য সংবেদনশীল ডেটা সন্ধান করে তা বেশ অনুমেয়। সুতরাং এটি অনুসরণ করে যে সংবেদনশীল ডেটা কেবল এমন লিঙ্কের উপরে ভ্রমণ করতে পারে যা সমস্ত দিক থেকে সুরক্ষিত থাকে এবং অবশ্যই এসএসএলের জন্য এটিই। সেখানে কী কী ডেটা জড়িত তার উপর নির্ভর করে এসএসএলকে নির্দেশ দেওয়া স্থানীয় আইনও থাকতে পারে।


এটি কি সাবনেটগুলির মধ্য দিয়ে যেতে পারে যেখানে গ্রাহকরা অ্যাক্সেস পেয়েছেন বা এটি কেবল প্রধান বাহকগণের ব্যাকবোনগুলির মধ্য দিয়ে যাচ্ছেন যা হ্যাকারকে ধরে নিতে হবে যে স্তরটি লেভেল 3 (কেবল উদাহরণস্বরূপ) অপস কেন্দ্র বলেছে?
কেভিনএম

সাধারণত আমি এটি গ্রাহক নেটওয়ার্কের মাধ্যমে ভ্রমণ করার আশা করবো না তবে মনে রাখবেন যে কোনও সিস্টেমের সাথে আপস করা যেতে পারে। যদিও আমাদের আইএসপি এবং ক্যারিয়ারের সিস্টেমগুলি আরও সুরক্ষিত হওয়ার আশা করতে সক্ষম হওয়া উচিত আমরা এটিও জানি যে অতীতেও অনেকে আপস করেছেন। কোনও সিস্টেম বা নেটওয়ার্ক হ্যাকিংয়ের জন্য অনাক্রম্য নয়, তাই এসএসএলের মতো জিনিসগুলির প্রয়োজন। এমনকি এটি কোনও আইএসপি কর্মচারীও হতে পারে যিনি নেটওয়ার্কের মাধ্যমে ভ্রমণ তথ্য সংগ্রহ করছেন। একটি সাধারণ প্যাসিভ ট্যাপ যা যা প্রয়োজন তা হল।
জন গার্ডেনিয়ার্স

1
এটি আপনার প্রিয় সরকারী সংস্থাও হতে পারে যা আপনার আইএসপি-র কিছু সহায়তায় ট্যাপগুলি ইনস্টল করে ... আপনি যদি বিবেচনা করেন যে আক্রমণ বা না আপনার উপর নির্ভর করে।
pehrs

2

এমন প্রক্সি সার্ভার রয়েছে যা ডেটা সঞ্চয় করতে পারে।

ব্যবহারকারীদের পাসওয়ার্ডগুলি সুরক্ষিত রাখার একটি বাধ্যবাধকতাও রয়েছে। অনেক ব্যবহারকারী পাসওয়ার্ডের একটি সীমিত সেট ব্যবহার করেন, তাই কোনও অনিরাপদ সাইট তাদের হোমব্যাঙ্ক পাসওয়ার্ডের সাথে আপস করতে পারে উদাহরণস্বরূপ।


1
হ্যাঁ, আপনার দ্বিতীয় বিষয়টি একটি গুরুত্বপূর্ণ বিষয়। আমি মনে করি ওয়েবসাইটগুলির পক্ষে এটি ব্যবহার করা ঠিক হবে না যেগুলি তারা ব্যবহারকারী বিশ্বের কেন্দ্রস্থল।

1

আপনার বিশ্লেষণ যুক্তিসঙ্গত, আইএমএইচও।

মনে করার মতো বিষয়, আমি মনে করি, আপনার পথে ক্যাশে থাকতে পারে। সুতরাং এটি হতে পারে যে অনুরোধটি কোথাও লগড হয়ে গেছে (বিশেষত লগইনটি জিইটি-র উপরে থাকলে এটি ভয়ানক হবে)।

সম্ভবত বিবেচনা করার বিষয়টি হ'ল বেশিরভাগ নেটওয়ার্ক অ্যাক্সেস এমন এক জায়গায় হয় যেখানে একই নেটওয়ার্কে প্রচুর অন্যান্য লোক রয়েছে। ওয়ার্ক / ইউনি / স্কুল হচ্ছে এর প্রধান উদাহরণ। বাড়িতে আপনি তর্ক করতে পারেন এটি কম ঝুঁকিপূর্ণ, কারণ এটি কেবল উপরের দিকেই আপনাকে উদ্বিগ্ন হতে হবে।

তবে সত্যই, এখানে কোনও প্রশ্ন নেই। লগ ইন করার সময় আপনি এসএসএল ব্যবহার করেন guy সম্ভবত লোকটির পক্ষে সবচেয়ে আকর্ষণীয় যুক্তিটি হ'ল এটি আপনার ওয়েবসাইটটিকে আরও বিশ্বাসযোগ্য বলে মনে করে, যেমন - আদর্শ - সাধারণ জনগণ কোনও সাইটে কোনও এসএসএল ভিত্তিক লগইন স্ক্রিন না থাকাতে লগ ইন করতে পারে না ।

তবে আসল ঘটনাবাদী হতে দিন। প্রায় অবশ্যই এই আক্রমণ ভেক্টরটি তার সিস্টেম বা ব্যবহারকারীদের সাথে আপোস করার উপায় নয়।

আছে HTH।


1

আমি নিজের প্রশ্নগুলির উত্তর দেওয়ার জন্য কেভিনএমের সংগীতগুলির সাথে একমত হতে পারি এবং জন গার্ডেনিয়ার্স সঠিক দিক নির্দেশ করছেন। রেশমি যা বলেছিল তাতে আমি অবশ্যই একমত হতে পারি, "আদর্শভাবে - সাধারণ জনগণ কোনও সাইটে কোনও এসএসএল ভিত্তিক লগইন স্ক্রিন না থাকাতে কখনও লগইন করতে পারে না" এবং উল্লেখ করতে পারেন যে এটি সমসাময়িক ক্ষেত্রে নয় মোটেই

আমি সিল্কির সুরের সাথে দ্বিমত পোষণ করি (সম্ভবত অনিচ্ছাকৃত), যা সর্বব্যাপী উপলব্ধির দিকে নিয়ে যায় যে, "সাধারণ জনগণ" বোকা। কেভিনএম এর ক্লায়েন্টের স্পষ্টতই এসএসএলের প্রয়োজনীয়তার কোনও ধারণা নেই এবং সংক্ষেপে এটিই আপনার গড় ব্যক্তি person তারা নির্বোধ নয়, তারা কেবল জানে না। "আপনার এটি দরকার" বলতে গেলে, প্রতিক্রিয়াকে অবৈধ করে বলবে, "আমি এটি ছাড়া x বছর বেঁচে আছি, এবং আমি x আরও ভালভাবে বেঁচে থাকব", বা আরও খারাপ প্রতিক্রিয়া, "আমার যা প্রয়োজন তা বলা থেকে আমি ঘৃণা করি । " তাই সতর্কতা অবলম্বন করা!

আপনার উদ্বেগ বৈধ, কেভিন। আপনার গ্রাহকের একটি এসএসএল শংসাপত্রের দরকার নেই। আমি মনে করি আপনার আসল উদ্বেগটি তাদের কীভাবে বিক্রি করা উচিত। এটি সম্পর্কে উদ্বিগ্ন হওয়া কেবলমাত্র ব্যবহারকারী লগইনই নয়, তবে প্রশাসক এবং অপারেটর লগইনগুলিও SSL দ্বারা সুরক্ষিত থেকে উপকৃত হবে।

হ্যাঁ, যেমন অন্যান্য বিষয় এই বিষয়ে বিষয়ে উদ্বিগ্ন হতে, আরও বেশি, তাই চেয়ে প্যাকেট আঘ্রাণ হয় পদ্ধতি এটা XSS । তারা অসংখ্য, এবং ভাল নথিভুক্ত


ধন্যবাদ ড্যানিয়েল আমি মনে করি কেবল স্বেচ্ছাচারী নিয়ম না রাখাই গুরুত্বপূর্ণ, তবে আমাদের নীতিগুলি কী উত্থাপন করে তা বোঝা। সুতরাং আমি নিশ্চিত করতে চেয়েছিলাম যে আমি এই অধিকারটি উচ্চারণ করতে পারি। আমি গ্রাহককে এসএসএল পাওয়ার জন্য বোঝাতে সক্ষম হয়েছি, ধন্যবাদ!
কেভিনএম

0

পুরো রুটে প্যাকেট অনুসরণ করে, যদি এর ওপরে এইচটিটিপি শুকানো যায় এবং ডেটা দেখা যায় ... এমনকি আপনি যদি টিওআরর মতো প্রক্সিতে এইচটিটিপি ব্যবহার করেন ... ফসল কাটা-আক্রমণ ইত্যাদি ব্যবহার করে। ডেটা-প্যাকেটগুলি ফাঁস করার জন্য প্রক্সিটি প্রবক্ত করতে পারে ... সুতরাং যদি সংবেদনশীল (পাসওয়ার্ড, ব্যক্তিগত বিবরণ, ব্যক্তিগত চিত্র ইত্যাদি) এর নিকটে কিছু থাকে ... তবে কেবলমাত্র এইচটিটিপিএস-এ স্থানান্তর করার উপযুক্ত।

এটিও, এমনকি এইচটিটিপিএস ভুল প্রয়োগের ক্ষেত্রে ঝুঁকিপূর্ণ এবং সেগুলি এটির জন্য প্রযোজ্য বেশ কয়েকটি এসএসএল আক্রমণ ... তবুও সেগুলি সাবধানতার সাথে প্রয়োগ করা এড়ানো যায়।

তবে, সরল-পাঠ্যের জন্য এইচটিটিপি ব্যবহার করা এমনকি নবাগত এন / ডব্লু বাচ্চাদের পাসওয়ার্ডগুলি স্নিগ্ধ করার জন্য আমন্ত্রণ জানানোর মতো।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.