https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:38 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#c11915 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1164 nospam@example.com (Paweł Goleń) Na przykład część mobilnych tokenów "wysyła" parę - identyfikator instancji i wskazanie tokenu (właściwie trójkę, bo jeszcze identyfikator użytkownika). Teoretycznie powinna mogłaby wystarczyć para nazwa użytkownika i wskazanie tokenu, ale bywają takie rozwiązania, gdy jeden użytkownik może mieć wiele tokenów przywiązanych do siebie. Token oczywiście można zablokować, jeśli zna się jego identyfikator. Jeśli identyfikator jest łatwy do przewidzenia, blokować można w sposób efektywny i w ten sposób złośliwie odcinać użytkownika/użytkowników od usługi. Zupełnie jest inaczej, jeśli raz na 2**64 prób udaje mi się trafić w istniejący identyfikator i komuś zablokować dostęp, inaczej, jeśli średnio na zablokowanie konta potrzebuję tych prób kilka(dziesiąt|set). Wed, 23 Jan 2013 19:10:54 +0100 https://archive.mroczna-zaloga.org/archives/1164-guid.html#c11915 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#c11911 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1164 nospam@example.com (rozie) Chodziło mi o dowolny stały identyfikator (także generowany po stronie serwera) w ww. warunkach (słabe szyfrowanie wifi i brak SSL), niekoniecznie oparty o MAC. Wariant oparty właśnie o MAC jest oczywiście jeszcze słabszy. Dokładnie. Takie "wieczne" cookie załatwia temat generowania przez serwer. A że niekiedy będzie usunięte i będzie trzeba ustawić jakieś parametry od nowa? Cóż, sam na początku piszesz, że modyfikacja nie jest końcem świata. Chyba łatwiej by było na konkretnym przykładzie dyskutować. Wed, 23 Jan 2013 18:59:42 +0100 https://archive.mroczna-zaloga.org/archives/1164-guid.html#c11911 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#c11898 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1164 nospam@example.com (Paweł Goleń) Przecież MAC jest widoczny niezależnie od tego, z jaką siecią (otwarta, WEP, WPA, WPA2) mamy do czynienia. Czyli lata sobie "publicznie" w powietrzu, z dokładnością do zasięgu (trzeba być wystarczająco blisko ofiary). Jeśli mamy MAC i MAC jest używany do generowania w sposób deterministyczny unikalnego identyfikatora urządzenia (przykładowy hash), to jesteśmy w stanie sobie sami ten identyfikator "wyliczyć" i użyć przy bezpośrednim odwołaniu do usługi. Nie interesuje mnie co lata wewnątrz WPA2, SSL i innych magicznych skrótów typu VPN. Może i zagadnienie jest bez sensu, ale jednak występuje "w prawdziwym świecie" i generowanie identyfikatorów w sposób przewidywalny pozwala atakującemu na dostęp do cudzych danych, czy na zwykłą złośliwość (blokowanie konta). Cookies nie do końca rozwiązują problem, bo trzeba zadbać o to, by użytkownik (aplikacja) była identyfikowana w ten sam sposób przez cały czas życia aplikacji. Dałoby się to zrobić, ale stopień skomplikowania rośnie. No chyba, że cookie miałoby być "niezniszczalne", ale wtedy mamy sytuację z identyfikatorem generowanym przez serwer. Tue, 22 Jan 2013 20:58:58 +0100 https://archive.mroczna-zaloga.org/archives/1164-guid.html#c11898 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#c11897 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1164 nospam@example.com (rozie) "Poza tym adres MAC lata sobie w powietrzu, wystarczy znaleźć się wystarczająco blisko urządzenia i posłuchać." Jaki procent sieci wifi jest niezabezpieczona lub zabezpieczona słabo (no dobra, tylko WEP zaliczam do "słabo")? Plus (tak się pisze, chodzi o iloczyn ;-)), jaki procent serwisów dane o identyfikatorze prześle w sposób nieszyfrowany? W ogóle całe zagadnienie trochę bez sensu jest, jak Bartosz zauważa. Toż to wieki temu zwykłe cookies załatwiały. Znaczy "załatwiały". Tue, 22 Jan 2013 18:46:46 +0100 https://archive.mroczna-zaloga.org/archives/1164-guid.html#c11897 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#c11716 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1164 nospam@example.com (Paweł Goleń) Wiesz, potencjalnych rozwiązań może być wiele. Ja tutaj odnoszę się bezpośrednio do sytuacji, w której jako identyfikator dla aplikacji jest używany wprost identyfikator urządzenia. Jeśli tak jest, to losowy identyfikator generowany w aplikacji jest najbliższą analogią. Jeśli chodzi o potencjalną kolizję, to trzeba popatrzeć na rozmiar identyfikatora i ilość przewidywanych urządzeń (czyli wygenerowanych identyfikatorów), a przy okazji uwzględnić paradoks dnia urodzin. Oczywiście jeśli PRNG jest do niczego, to nasze wspaniałe wyliczenia na nic się nie przydadzą :) Thu, 17 Jan 2013 15:38:44 +0100 https://archive.mroczna-zaloga.org/archives/1164-guid.html#c11716 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#c11715 https://archive.mroczna-zaloga.org/archives/1164-gdy-sekret-nie-jest-sekretem.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1164 nospam@example.com (Bartosz Małkowski) A taki identyfikator nie powinien być generowany przez serwer? Serwer i tak musi sprawdzić czy nie ma konfliktów (kiepski generator klienta) z identyfikatorami innych użytkowników. No chyba, że ten "identyfikator" miałby działać jak swego rodzaju hasło i być wysyłany w parze z username. Thu, 17 Jan 2013 07:28:08 +0100 https://archive.mroczna-zaloga.org/archives/1164-guid.html#c11715