abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
22.11. 22:30 | Zajímavý projekt
Steve Chamberlin představil (YouTube) svůj malý počítač s Linuxem, jenž pojmenoval 68 Katy. Jádrem počítače postaveného na nepájivém poli (breadboard) je procesor Motorola 68008. [Slashdot]
Ladislav Hagara | Komentářů: 4
21.11. 08:57 | Zajímavý článek
Na titulnej stránke slashdotu dnes nájdete aj správičku o Vojtěchovi Pavlíkovi. Patrí mu uznanie za vedúcu rolu v SUSE Labs a projekty, ako sú kGraft (patchovanie jadra za behu) a bootovanie počítačov zamknutých pomocou secure boot. Pôvodný článok o Vojtěchovi Pavlíkovi nájdete na IT Wire. Gratulujeme.
rastos | Komentářů: 20
20.11. 10:54 | Komunita
Počínaje prosincem bude v některých zemích provedena změna na pozici výchozího vyhledávače ve Firefoxu. V USA bude nově výchozím vyhledávačem Yahoo a v rámci nové pětileté dohody bude podporovat technologii Do Not Track. V Rusku se stane výchozím vyhledávačem Yandex. V Číně bude jako výchozí pokračovat Baidu. Ostatní vyhledávače jako Google či Bing budou v nabídce i nadále. Mozilla mění strategii. Místo jedné globální smlouvy na výchozí … více »
Ladislav Hagara | Komentářů: 23
19.11. 19:34 | Zajímavý projekt
Společnost Jolla spustila na Indiegogo kampaň na podporu svého tabletu. Cílová částka 380 tisíc dolarů byla vybrána za něco málo přes 2 hodiny. V době zveřejnění zprávičky bylo vybráno přes 700 tisíc dolarů. Jolla Tablet s operačním systémem Sailfish OS 2.0, displejem o velikosti 7,85 palce a rozlišení 2048x1536, lze aktuálně koupit za 204 dolarů. Předpokládaná cena po kampani je 249 dolarů.
Ladislav Hagara | Komentářů: 44
19.11. 12:33 | Zajímavý článek
Debian zveřejnil výsledky hlasování o způsobu integrace init systémů v Debianu. V hlasování zvítězila možnost označovaná jako "General Resolution is not required".… více »
Ondřej Surý | Komentářů: 145
19.11. 10:22 | Zajímavý článek
WhatsApp, proprietární aplikace rychlých zpráv pro chytré telefony, která má více než 70 milionů aktivních uživatelů (z celkového počtu 700 milionů registrovaných), zavedla silné šifrování end-to-end. Vyvinul a nasadil je pro ni Moxie Marlinspike, známý bezpečnostní expert a aktivista, který stojí za TextSecure a WhisperPush (implementací TextSecure protokolu v CyanogenModu). Jedná se o implementaci Axolotl Ratchet (vylepšené OTR).
xm | Komentářů: 20
19.11. 04:04 | Zajímavý projekt
Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, IdenTrust a University of Michigan představují projekt Let’s Encrypt. Jedná se o projekt otevřené certifikační autority, jež bude od léta 2015 nabízet certifikáty pro servery rychle, bezpečně, transparentně a zadarmo. Pro správu certifikátů a automatické nastavování serverů je vyvíjen klientský software. Videoukázka na YouTube. Technické detaily na stránkách projektu. Popis použitého protokolu ACME (Automated Certificate Management Environment) na GitHubu. [Slashdot]
Ladislav Hagara | Komentářů: 47
19.11. 01:01 | Zajímavý článek
Bylo uvolněno první číslo časopisu Linux Voice z letošního dubna. K dispozici je jak jedno velké PDF o 116 stranách (61 MB), tak PDF nebo HTML verze jednotlivých článků. K některým z článků je k dispozici také jejich audio verze (OGG, MP3). Linux Voice je anglicky psaný "papírový" časopis. Po úspěšné kampani na Indiegogo bylo vydáno již 9 čísel. Jedno číslo vyjde na cca 330,- Kč, roční předplatné na cca 3000,- Kč. Polovina zisku časopisu se vrací komunitě. Jednotlivá čísla časopisu jsou po 9 měsících od vydání uvolněna pod licencí CC-BY-SA.
Ladislav Hagara | Komentářů: 0
18.11. 17:19 | Pozvánky
Spolek OpenAlt zve na 110. sraz příznivců open source, který proběhne v pátek 21. listopadu od 18:00 v Brně U Bílého beránka (Štefánikova 85/16) a v Praze v restauraci Lokalblok (Náměstí 14. října 10, Praha 5).
Ladislav Hagara | Komentářů: 0
17.11. 18:19 | Nasazení Linuxu
Byl aktualizován seznam 500 nejrychlejších superpočítačů na světě TOP500. Pořadí na prvních devíti místech se od června nezměnilo. Nejrychlejším superpočítačem na světě je již počtvrté čínský Tianhe-2 (MilkyWay-2). Počet superpočítačů v TOP500 bežících na Linuxu zůstal 485. Další přehledy a statistiky na stránkách projektu.
Ladislav Hagara | Komentářů: 4
Disketu jsem naposledy použil během
 (46%)
 (3%)
 (11%)
 (38%)
 (2%)
Celkem 1109 hlasů
 Komentářů: 39, poslední včera 15:25
Rozcestník
Reklama
Autoškola testy online Levný benzín

Jak nedělat autentizační token

7.9.2008 17:27 | Přečteno: 1875× | phpMyAdmin | poslední úprava: 7.9.2008 18:01

Do phpMyAdmina chtějí protlačit podporu pro jeden autentizační token. Jak tato věc funguje na hardwarové úrovni nevím (má tam být nějaký autentizační kalkulátor, který na výzvu vygeneruje nějakou unikátní odpověď), ale docela mě pobavil přístup k bezpečnosti softwarového řešení okolo. Celá popisovaná věc se jmenuje Swekey a stojí za ním firma Musbe, založená jen kvůli tomuto zařízení (to develop and market an innovative authentication technology).

Token se strká do USB (v dnešní době to asi ani jinak nejde) a celou věc obsluhuje v Linuxu jakási binárka komunikující s tokenem přes libusb. No aspoň, že to bude hnít v userspace a ne v kernelu. Bohužel pokud to chcete použít na něčem jiném než i386, máte smůlu. Protože nám se jedná o autentizaci webové aplikace, máme ještě k dispozici další binárku a to plugin do prohlížeče Firefox (pro Windows případně ještě ActiveX pro MSIE).

Když už se uživateli poštěstí toto rozběhat (a nebude řešit takové nepodstatné otázky, jako třeba: proč binárka obsluhující ten token musí používat curl?), může vyzkoušet úžasné možnosti, které nám tato autentizace skýtá. A hlavně se podívat na kód, který se o autentizaci stará, protože ten již k dispozici máme. Kromě phpMyAdmina, kde je jakási meziverze už v SVN, ještě existuje plugin pro SquirrelMail a prý i patch pro RoundCube, modul pro PAM atd.

Jak vlastně celá věc funguje?

  1. Načte se ID z USB tokenu
  2. Ze serveru se stáhne náhodný token (platný dvě minuty)
  3. Náhodný token se nacpe do USB tokenu a ten vygeneruje OTP (jednorázové heslo)
  4. ID tokenu, náhodný token a OTP se pošle na server a ten je ověří

No vypadá to celkem jednoduše, tož pojďme se podívat jak to soudruzi naimplementovali. Podotýkám, že v patchi pro phpMyAdmin, už pomaly níže popsané problémy mizí, ale za cenu víceméně kompletního přepsání kódu, jak se (ne)budou vyvíjet patche/pluginy pro ostatní programy netuším, nicméně autoři pořád někde preferují původní řešení.

Komunikace

První věc, která kohokoliv musela praštit do očí bylo použití nešifrovaného HTTP spojení při komunikaci se serverem. Což ve spojení s jednoduchým až triviální protokolem, znamená, že kdokoliv, kdo je schopný na jakýkoliv HTTP požadavek odeslat odpověď "HTTP/1.0 200 OK\n\nOK" se může stát autentizačním serverem, který autentizuje cokoliv komukoliv. Soudruzi sice v patchi pro phpMyAdmina přešli na HTTPS s ověřováním certifikátu, ale z výkonnostních důvodů jinde zůstane nadále HTTP. Vskutku inovativní řešení.

Umístění souborů

Mapování tokenů na uživatele mělo být umístěno v kořenovém adresáři phpMyAdmina a tedy přístupné přes web. Což ve spojení s předhozí zranitelností znamená, že jediná informace, kterou by případný útočník potřeboval - ID klíče, který mu dovolí přístu, může bez problémů získat napsáním správného URL.

Dočasné soubory

Protože náhodný token je platný dvě minuty, rozhodli se autoři ušetřit námahu jejich serveru s generováním a tento token cachovat. Bohužel ukládat pevně pojmenovaný soubor do adresáře /tmp není zrovna nejlepší nápad a už vůbec není dobrý nápad tento soubor vytvářet s právy 777. Co by se asi stalo, kdyby náhodný uživatel na serveru do tohoto souboru uložil třeba nějaký film a ten se následně začal odesílat na jejich server jako náhodný token při autentizaci?

No nechtějte to

Většina zde zmíněných problémů existuje ve všech implementacích tohoto tokenu, do kterých jsem se koukal. Kromě toho každá implementace přidává spoustu unikátních programátorských chyb. Zájemcům o pobavení se doporučuji modul pro PAM, který je vlastně jen spouštěč skriptu v bashi, který volá curl a komunikuje se serverem.

Update

Při psaní tohoto článečku mě napadl ještě jeden problém, kterým to asi bude trpět, ale nechtěl jsem to psát dokud to neověřím, což se právě stalo. Přístup k tokenu z prohlížeče není pluginem nijak omezován, takže jakákoliv stránka může zjistit ID vašeho tokenu a vygenerovat si OTP heslo. No lepší podmínky pro krádež identity si už lze představit jen těžko :-).

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

7.9.2008 18:12 Aleš Kapica | skóre: 42 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Jak nedělat autentizační token
Jen ať si to do toho strčí, to je jejich věc. Na stejné místo si pak můžou strčit i celý phpMyAdmin.
7.9.2008 23:59 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak nedělat autentizační token
Tak díky za motivaci ;-).
23.10.2008 13:39 Pev | skóre: 28
Rozbalit Rozbalit vše Re: Jak nedělat autentizační token
Jen ať si to do toho strčí, to je jejich věc. Na stejné místo si pak můžou strčit i celý phpMyAdmin.
No psát tohle jednomu z autorů phpMyAdmina můžete buď jen z nevědomosti o autorově zainteresovanosti v tomto projektu nebo z osobní averze k autorovi. Nebo Vám snad přijde phpMyAdmin na nic? Neříkám, že nejde spravovat mysql bez něj, ale pro servery bez SSH (webservery s mysql) je neocenitelný pomocník. Je to jedna z killer apps a jeden z mála důvodů, proč zatím používám víc mysql než postgresql. Kdyby tak phpPgAdmin měl takové možnosti jako phpMyAdmin...

Jinak k příspěvku - taky bych tu hrůzu vůbec do phpMyAdmin nepřidával...
stativ avatar 8.9.2008 09:07 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Jak nedělat autentizační token
A to není možné je hezky nechat, ať si to spravují mimo tvůj strom? Nevidím sebemenší důvod proč si pouštět takovouhle potenciálně nebezpečnou prasárnu do kódu.
Ať sežeru elfa i s chlupama!!! stativ.kx.cz
8.9.2008 09:59 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak nedělat autentizační token
No pokud je donutíme ke kvalitnímu kódu, tak je lepší, aby to bylo začleněno. Jestli se nám to ovšem podaří, toť ovšem otázka :-).

Založit nové vláknoNahoru

ISSN 1214-1267   Powered by Hosting 90 Server hosting
© 1999-2013 Argonit s. r. o. Všechna práva vyhrazena.