Анализ безопасности Web 2.0 проектов. Часть 1. Пароли

отметили
38
человек
в архиве
Анализ безопасности Web 2.0 проектов. Часть 1. Пароли
Поскольку Web 2.0 проекты в всё больше и больше набирают популярность и число их пользователей увеличивается с каждым днём, то очень важно
чтобы создатели этих систем уделяли внимание не только удобству пользователей, но и общепринятым практикам безопасности для веб сайтов. Это исследование оценивает ряд уже существующих проектов.
.
.
.
Объекты исследования
News2.ru — Социальные новости

При регистрации не запрашивает никакой информации кроме email'а.
При регистрации ограничивает минимальную длину пароля 3 символами.
При запросе восстановления пароля спрашивает только логин и email после чего пересылает на email ссылку
При генерации пароля создаёт его только из цифр, но из 10.

При регистрации в качестве формы пароля используется простая форма ввода текста, как следствие пароль виден визуально на экране.
Регистрация и авторизация проходят без использования HTTPS
Добавил vitol vitol 13 Марта 2007
проблема (1)
Комментарии участников:
Rebuyer
0
Rebuyer, 13 Марта 2007 , url
нарыл, хакер,
пока нет cornelius:), а то он опять ссылку на википедию даст :)
vitol
0
vitol, 13 Марта 2007 , url
А кто это cornelius? Я чего-то не в курсе…
Unatine
0
Unatine, 14 Марта 2007 , url
я за него :)

читаем Файл Жаргона: www.catb.org/~esr/jargon/html/H/hacker.html или по-русски тут: ru.wikipedia.org/wiki/Хакер

и учим определения наизусть :)
borhes
0
borhes, 13 Марта 2007 , url
Хороший анализ.
Теперь его в уши разработчикам.
ivbeg
0
ivbeg, 14 Марта 2007 , url
Я немного как автор обзора скажу:)
Хакерства тут нет, а только проверка соблюдения рекомендаций OWASP для веб систем. Я в любой системе, в принципе, всегда регистрируюсь вначале с тестовым паролем, и сразу его восстанавливаю и только если не получаю его в открытом виде, регистрируюсь с актуальным. К сожалению, очень многие системы даже таких правил не соблюдают, а тут лишь собрал самое что ни на есть очевидное.
Разумеется более серьёзные исследования должны делать сами разработчики проектов, у меня была цель обратить их внимание на тему.
vitol
0
vitol, 14 Марта 2007 , url
Отличный обзор!


Войдите или станьте участником, чтобы комментировать