Single Sign On with Nginx

Gena Makhomed gmm на csdoc.com
Пт Фев 26 14:16:29 MSK 2010


On 26.02.2010 11:36, Andrew Kopeyko wrote:

> А вот если вы будете ему сообщать (условно) "неправильный логин", "логин
> заблокирован", "логин верный, неверен пароль" - это уже раскрытие
> информации. Ведь до момента успешной авторизации вы знать не знаете кто
> сидит на другой стороне - валидный пользователь, или злоумышленник.
> Собственно, для того вы аутентификацию и делаете - дабы отличить одного
> от другого.
>
> Посмотрите вокруг - в подавляюшем большинстве информационных систем при
> неудачной аутентификации говорится что-то типа "доступ запрещён" не
> уточняя по какой именно причине. Windows в этом месте - сделан
> исключительно правильно.

однако, веб-приложения отличаются от десктопных наличием возможности 
восстановления пароля на емейл и это дает дополнительные преимущества.

Windows кстати, - раскрывает логины пользователя / всех пользователей.
( в зависимости от типа logon: Classic Logon / Welcome Screen Logon )

сообщение "Доступ запрещен" может вводить в валидного пользователя 
заблуждение, лучшим вариантом наверное будет ответить, что "Такая 
комбинация логина и пароля не найдена. Проверь данные и попробуй еще."

или сообщение при ошибке входа в Skype: 
https://secure.skype.com/account/intl/ru/login - "Ошибка идентификации. 
Проверьте правильность логина и введите ваш пароль еще раз.". ссылка 
"Забыли свой пароль?" сразу под кнопкой "Войти в Skype" и сама форма 
входа - очень хорошо продуманы.

здесь валидному пользователю дается намек, что он наверное ошибся в 
логине или пароле, и поэтому не удается войти, вместо того чтобы ему 
сразу же начинать звонить/писать в support с вопросами "почему меня 
заблокировали, разблокируйте пожалуйста". а вот для злоумышленника 
раскрытия информации тут нет, он не узнает для себя ничего нового.

сообщить о том, что "Доступ запрещен" после того как пользователь
ввел валидный емейл для восстановления пароля - формально это есть 
раскрытие информации, но вот злоумышленнику оно дает очень мало 
преимуществ. логин пользователя в этом случае не раскрывается,
а только сообщается о самом факте блокировки учетной записи.

-- 
Best regards,
  Gena




Подробная информация о списке рассылки nginx-ru