Hozzászólás: Webalkalmazások biztonsági tesztelése 4 http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/ rrd ::: Webmánia Tue, 07 Feb 2012 13:37:51 +0000 hourly 1 http://wordpress.org/?v=3.3 Szerző: deejayy http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/comment-page-1/#comment-6630 deejayy Mon, 26 Apr 2010 06:09:12 +0000 http://webmania.cc/?p=1128#comment-6630 Captcha: rejtett mezők, javascript, amiket a robotok 99%-a (?) nem tud értelmezni. Captcha: rejtett mezők, javascript, amiket a robotok 99%-a (?) nem tud értelmezni.

]]> Szerző: bh http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/comment-page-1/#comment-6504 bh Mon, 01 Mar 2010 11:10:20 +0000 http://webmania.cc/?p=1128#comment-6504 Bár létezik olyan megoldás is, hogy gombnyomásra felolvassa a szöveget. Engem az zavar igazán, hogy nagyon lelassítja a procedúrát. Amíg az ember elolvassa, begépeli, ha rossz akkor újra... Bár létezik olyan megoldás is, hogy gombnyomásra felolvassa a szöveget.

Engem az zavar igazán, hogy nagyon lelassítja a procedúrát. Amíg az ember elolvassa, begépeli, ha rossz akkor újra…

]]> Szerző: bh http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/comment-page-1/#comment-6503 bh Mon, 01 Mar 2010 11:03:45 +0000 http://webmania.cc/?p=1128#comment-6503 Így már értem az állaspontod, teljesen igazad van. Így már értem az állaspontod, teljesen igazad van.

]]> Szerző: rrd http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/comment-page-1/#comment-6502 rrd Mon, 01 Mar 2010 10:59:52 +0000 http://webmania.cc/?p=1128#comment-6502 @bh A netezők 30%-ának van valamiféle látászavara (színtévesztő, szemüveges, stb). Többségüknek problémás a captcha visszafejtése. Az egyszerűeket géppel is egyszerű visszafejteni, a bonyolultakat pedig szerintem emberek már meg sem tudják fejteni. Ki kéne találni valamit helyette, ami ember barátabb. @bh A netezők 30%-ának van valamiféle látászavara (színtévesztő, szemüveges, stb). Többségüknek problémás a captcha visszafejtése. Az egyszerűeket géppel is egyszerű visszafejteni, a bonyolultakat pedig szerintem emberek már meg sem tudják fejteni. Ki kéne találni valamit helyette, ami ember barátabb.

]]> Szerző: bh http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/comment-page-1/#comment-6501 bh Mon, 01 Mar 2010 10:50:14 +0000 http://webmania.cc/?p=1128#comment-6501 Megindokolnád miért gondolod így? Nem mintha én a captcha követője lennék, csupán érdekelne a véleményed. Megindokolnád miért gondolod így? Nem mintha én a captcha követője lennék, csupán érdekelne a véleményed.

]]> Szerző: rrd http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/comment-page-1/#comment-6500 rrd Mon, 01 Mar 2010 10:31:14 +0000 http://webmania.cc/?p=1128#comment-6500 @bh Köszönöm az észrevételt, igyekszem jobban tagolni. A captcha meg szerintem az egyik lehető legrosszabb dolog ami bemászott az internetre. Persze ez csak egyéni vélemény. @bh Köszönöm az észrevételt, igyekszem jobban tagolni. A captcha meg szerintem az egyik lehető legrosszabb dolog ami bemászott az internetre. Persze ez csak egyéni vélemény.

]]> Szerző: bh http://webmania.cc/webalkalmazasok-biztonsagi-tesztelese-4/comment-page-1/#comment-6497 bh Mon, 01 Mar 2010 09:32:15 +0000 http://webmania.cc/?p=1128#comment-6497 A cikk tetszik, de lenne néhány megjegyzésem. Számomra elvesznek a pici részletek, valahogy jobban kéne tagolni a szöveget. A napokban találtam pontosan erre a részre egy remek példát: "Brute force támadásoknál nagy segítség ha hibás bejelentkezés esetén más hibaüzenetet kapunk ha a jelszó a hibás mintha a usernév." Akit érdekel, látogasson el az ingatlan.com-ra. Mivel partnerünk, csak úgy poénból megnéztem az oldalukat, az alap biztonsági rések után kutatva. Pár perc alatt a belépésnél máris egy általános hiba, ami a fenti idézetre egy tipikus példa. -> Fent belépés majd "Offce-os partner". Egy-két próbálkozás alatt a "balazs" felhasználónevet sikerült eltalálni és már csak egy jelszó kéne hozzá... Kipróbálás során látható, hogy értesülünk a helytelen felhasználónévről, de amint az helyes már csak a jelszóra ír hibát. "Az alkalmazásunkat mindenféleképpen lássuk el brute force elleni védelemmel. A legegyszerűbb esetben szerver oldalon tároljuk az azonos forrásból (értsd IP cím + mondjuk böngésző) származó belépési kísérleteket és bizonyos számú sikertelen kísérlet után rövid időre tiltjuk a bejelentkezési lehetőséget." Ez valóban hasznos és egyszerű. Hamisítani sem olyan túlságosan nehéz. Hasznos lehet a szintén egyszerű CAPTCHA, amit természetesen szintén nem lehetetlen feltörni, de mindenképpen nehezebb mint az előbbi módszer. A cikk tetszik, de lenne néhány megjegyzésem. Számomra elvesznek a pici részletek, valahogy jobban kéne tagolni a szöveget.

A napokban találtam pontosan erre a részre egy remek példát: “Brute force támadásoknál nagy segítség ha hibás bejelentkezés esetén más hibaüzenetet kapunk ha a jelszó a hibás mintha a usernév.”

Akit érdekel, látogasson el az ingatlan.com-ra. Mivel partnerünk, csak úgy poénból megnéztem az oldalukat, az alap biztonsági rések után kutatva. Pár perc alatt a belépésnél máris egy általános hiba, ami a fenti idézetre egy tipikus példa.
-> Fent belépés majd “Offce-os partner”. Egy-két próbálkozás alatt a “balazs” felhasználónevet sikerült eltalálni és már csak egy jelszó kéne hozzá… Kipróbálás során látható, hogy értesülünk a helytelen felhasználónévről, de amint az helyes már csak a jelszóra ír hibát.

“Az alkalmazásunkat mindenféleképpen lássuk el brute force elleni védelemmel. A legegyszerűbb esetben szerver oldalon tároljuk az azonos forrásból (értsd IP cím + mondjuk böngésző) származó belépési kísérleteket és bizonyos számú sikertelen kísérlet után rövid időre tiltjuk a bejelentkezési lehetőséget.”
Ez valóban hasznos és egyszerű. Hamisítani sem olyan túlságosan nehéz. Hasznos lehet a szintén egyszerű CAPTCHA, amit természetesen szintén nem lehetetlen feltörni, de mindenképpen nehezebb mint az előbbi módszer.

]]>