Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
26.10.2010 19:19, Dank Bagryantsev пишет: Здравствуйте. Организация покупает логины-пароли для доступа к каким-то www-сайтам нужным для работы. Но пользователи похоже сливают или перепродают доступ к сайтам. На стороне этих сайтов нет никакой возможности ограничить доступ по IP или что-то еще сделать. Возможно ли каким-либо способом посылать логины-пароли при входе на сайты, но чтобы пользователь не мог их узнать? (или как минимум пароль). Если сайт поддерживает аутентификацию X.509, принципиальных проблем нет -- доступ будет только с тех компов, на которых лежат ключи и сертификаты. В отличие от паролей слить ключи и сертификаты осмелится лишь явный самоубийца, поскольку отследить, кто именно слил достаточно легко. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Здравствуйте, Roman. Вы писали 27 октября 2010 г., 23:34:31: Переложить решение проблемы на плечи самого коллектива? Ну и методы. Жив совок. Лозунги сменились, флаг перекрасили, а методы те же. Что конкретно не нравится? Уже не в первый раз замечаю, что ты, будучи анонимом, устраиваешь флейм не по теме. Очень напоминаешь некоего Михаила, которого замахались отсюда пинками под зад выгонять. Это ты вялые огрызания троллей называешь пинками? Или банальное хамство тех же красноглазых, осознавших свою убогость называешь пинками? Те корона не жмет? Рекомендую почитать в википедии на предмет аллегорий, иносказаний и прочих гипербол... А тебе рекомендуется сходить ко врачу. Угу. Опыт Страны Восходящего Солнца для нас ничто. Мы помним только кАку, тобишь коза-ностру... Ну да, давайте построим рабство по примеру этой страны. Знать реалии жизни нужно, а не трендеть, на темы в которых не понимаешь. Мальчик, предложи способ, а не критикуй других. Ты постоянно устраиваешь говновозенье во всех темах. Во.Когда не хватает знаний, что бы опровергнуть оппонента, опускаешься до банального хамства и раздвижения пальцев. Еще раз: тебе сколько лет, что ты такой агрессивный? Возраст не показатель знаний, а вот твой возраст явно выше возраста наступления старческого слабоумия. За пол года ни одного разрыва? Я рад за тебя, и неприкосновенность в последние пол года анального и орального отверстия. О Господи! Мне нечего ответить. Закончишь школу, институт, поработаешь - потом поговорим. Да дададада. Я мега крут, а вы все щенки сопливые. самый убийственный аргумент слабо грамотного, но красноглазого и злобного тролля. -- С уважением, Михаил mailto:co...@mail.ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
01.11.2010 17:45, Михаил пишет: Я рад за тебя, и неприкосновенность в последние пол года анального и орального отверстия. Тебя так давно тут не драли? Ну так я буду первым в этом сезоне. -- With best wishes, Roman. PS Извините господа, я забыл о том, что нельзя упоминать быдло вслух. А то оно просыпается и начинает вонять. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 Roman Lesnichenko пишет: 01.11.2010 17:45, Михаил пишет: Я рад за тебя, и неприкосновенность в последние пол года анального и орального отверстия. Тебя так давно тут не драли? Ну так я буду первым в этом сезоне. Господа, Вы правда не в состоянии проигнорировать идиота вместо раздувания флейма? - -- Rgrds, Andriy * email: dobr at iop dot kiev dot uaKyiv, Ukraine Phone: (380-44) 525-7824Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU * -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAkzO/IEACgkQpBPgR3404hNhQgEA01iKEGPGiWjFaWLNzrWm4dQk X0+eaAt70WuHgqcifqwBAKOnip5gV2w22xs/xgXs97cqMU0EpdKW0cAnZtBlf6qj =fFYt -END PGP SIGNATURE- ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Andrii Dobrovol`s`kii d...@iop.kiev.ua написал: Господа, Вы правда не в состоянии проигнорировать идиота вместо раздувания флейма? Где господа? Это те идиоты, которые не могут применить административные меры к хаму, грубияну и дебоширу РоСТОману Лесниченко и потому переключились на Михала? Они все господа на каком основании, что их больше численно, а Михаил один? Тогда где сказано, что если идиотов больше десяти они становятся господами? Вам лень прочесть тред сначала, чтобы увидеть какие маты на меня вылил вместе с помоями ваш Лесниченко не получив от меня ни слова оскорблений? Свинья, швыряющая во всех грязью и отборными матами, Роман Лесниченко стал господином? Как дерьмом загадив sysadmins@ своими экскрементами и вонючим гноем, Роман Лесниченко остаётся не при делах! Под защитой коллектива ему можно вести себя как подонку. Для остальных есть карающая рука. Это ему можно нагрубить, нахамить, нагадить в рассылку и всё сойдёт с рук! А Михаил крайний. Тут же мании величия ни у кого нет. Тут все коронованные господа! Даже мат и гной у господ благородный. Так я спрашиваю: заткнёт кто-нибудь глотку этому психу Роману Лесниченко или придётся зависеть от его настроения, ожидая кого ещё он оросит лучами своего поноса в следующий раз? Я не стал ему отвечать - думал затих. Нет! Опять рецидив! Мер долго ждать? Или, как всегда, вместо его глотки заткнут мою? Так я на людей не кидаюсь - меня достали такие уроды как он! Объясните ему, что есть личная почта - пусть переписывается за пределами рассылки. Урод! -- С уважением, Денис [melcomtec]. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Здравствуйте, melcomtec. Вы писали 1 ноября 2010 г., 20:15:34: Это те идиоты, которые не могут применить административные меры к хаму, На счет идиотов, я не соглашусь, администрация тут вменяемая. Административные меры к хаму приняты не будут. Потому, что ты из неумытых, и хамство по отношению к тебе это не хамство. А вот мне за попытку поставить хама на место влепят наказание. По тому, что неумытым разрешено только восхищаться хамскими перлами господ и очень вежливо поддакивать. Они все господа на каком основании, что их больше численно, а Михаил один? Тогда где сказано, что если идиотов больше десяти они становятся господами? Ну это вообще-то принцип демократии. Где правила устанавливает большинство. Роман Лесниченко остаётся не при делах! Под защитой коллектива ему можно вести себя как подонку. Да. Потому, что он большинство. Для остальных есть карающая рука. Именно. Для не умытых, есть администратор. Так я спрашиваю: заткнёт кто-нибудь глотку этому психу Роману Лесниченко или придётся зависеть от его настроения, ожидая кого ещё он оросит лучами своего поноса в следующий раз? Знаешь, в нормальных майл клиентах, есть фильтры. И никто не мешает весь его бред сливать в мусорку программными средствами. Или, как всегда, вместо его глотки заткнут мою? Да. Ах Моська, знать она сильна раз лает на слона. Некотором, которым мешает шум, проще убрать слона, чем заткнуть Моську. По тому, что Моська сильна, раз лает. И всем начхать, что при отсутствии слонов, Моська облает всех прохожих, и убиральщиков слонов то же. Как уже однажды было сделано. А остальным предлагается вставить тампакс в уши. (Инструкция на восьми листах мелкого убористого текста на английском и непонятном языке прилагается. В пределах мкада тампаксы можно получить бесплатно) -- С уважением, Михаил mailto:co...@mail.ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
2010/10/27 Roman Lesnichenko sysadmins@: 27.10.2010 19:46, Dank Bagryantsev пишет: В итоге, обострение отношений в коллективе и снижение лояльности работодателю со стороны ранее лояльных сотрудников. И со снижением лояльности не согласен. Наоборот. Нужно стремиться к созданию понятия и мотивации семьи... Ведь не будет нормальный человек красть из семьи :) Какая в жопу семья? Перед вытяжкой из зарплаты за месяц предупредить о таком действе и объяснить причину с требованием прекратить. А если факты слива повторятся - снимать деньги с объяснением того, что руководителю глупо заниматься поиском вора. Значит этого руководителя надо утопить в туалете^W^W^W уволить за профнепригодность. Ибо нехер. -- Mykola Grechukh RISC Group IT Solutions ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Mykola S. Grechukh g...@altlinux.org написал: 2010/10/27 Roman Lesnichenko sysadmins@: 27.10.2010 19:46, Dank Bagryantsev пишет: В итоге, обострение отношений в коллективе и снижение лояльности работодателю со стороны ранее лояльных сотрудников. И со снижением лояльности не согласен. Наоборот. Нужно стремиться к созданию понятия и мотивации семьи... Ведь не будет нормальный человек красть из семьи :) Какая в жопу семья? Перед вытяжкой из зарплаты за месяц предупредить о таком действе и объяснить причину с требованием прекратить. А если факты слива повторятся - снимать деньги с объяснением того, что руководителю глупо заниматься поиском вора. Значит этого руководителя надо утопить в туалете^W^W^W уволить за профнепригодность. Ибо нехер. Ну слава Богу! Спасибо, что вы есть! :-) -- С уважением, Денис [melcomtec]. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
On Thu, Oct 28, 2010 at 05:40:15AM +0300, Dank Bagryantsev wrote: NAF Прокси-сервер потребует разбора систем авторизации для каждого из NAF сайтов, написания фильтров под них (и изменения этих фильтров при NAF изменениях на сайтах), и дополнительные проблемы в случае использования NAF сайтами SSL. Да. Но пока никаких толковых наработок я не нашел в этом направлении. Наткнулся на упоминание delegate.org (погуглил nginx mitm, попал на http://www.ruby-forum.com/topic/95729#197797). Также http://www.mail-archive.com/squid-us...@squid-cache.org/msg72827.html -- WBR, Michael Shigorin m...@altlinux.ru -- Linux.Kiev http://www.linux.kiev.ua/ ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Чтв, 28/10/2010 в 12:12 +0300, Gennadii Redko пишет: Да-да - есть X.509 и S/Key как раз для таких случаев. ... Парольная схема авторизации задана в постановке задачи и используется на сторонних неподконтрольных ресурсах. Подменять же прокси-сервере налету схему авторизации при обращении к сайтам - это существенно сложнее даже подмены протокола https - http. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
On Thu, Oct 28, 2010 at 12:50:52PM +0400, Yuri Bushmelev wrote: Я удивлен, что при таком количестве упоминаний SSL, никто еще не предложил авторизацию по клиентским сертификатам вместо логина и пароля :) Я тоже подумал, но... Как минимум, сразу будет понятно, как утекает информация. Трояны, насколько мне известно, клиентские сертификаты пока не тырят (хотя я не большой специалист в сортах^Wразновидностях троянов). Аналогично. -- WBR, Michael Shigorin m...@altlinux.ru -- Linux.Kiev http://www.linux.kiev.ua/ ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Здравствуйте. Благодарю всех за обсуждение и идеи. Особая благодарность для Nikolay A. Fetisov Пути для решения задачи обозначены, буду пробовать. -- С уважением, Dank ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Я для чего-то подобного видел реализацию на прокси сервере, условия были немного иные (сайт был один и не HTTPS) суть его в подмене сайта связку на сайта + пароль для сайта для конкретного пользователя... ту типа как вместо ftp://ftp.ru после замены отправляется ftp://test1:3423...@ftp.ru для пользователя test1 (сори тут могу попутать как там точно пишется и в каком порядке логин и пароль) процесс авторизации пользователь не видит и непосредственно сам пароль от сайта не увидит!... в моем случае между пользователем и сайтом находился squid доступный только после подключения через openvpn... а это уже двойная авторизация - на самом проксике + на ВПНе... ключи ВПН на флешке, каждый отвечает за свою флешку, сам так, что если что сразу заметно кто подключился и куда... для гарантии флешку можно зашифровать встроенными в винду средствами и выставить правильные права(!) (или вообще скрыть фаил ключа спрятав его в картинке у каждого своей...) метод конечно геморный и не 100%, но я еще не видел пользователей способных на преодолении такого барьера! а если вдруг вы и найдете, то это уже скорее что-то близкое к админу ))) да и затраты на расшифровку ключа и его кражу, слишком накладны... а если менять централизованно менять ключи раз в месяц то вам вообще нечего бояться... (что поделать параноя по мне плачит ) 27.10.2010 20:46, Dank Bagryantsev пишет: Здравствуйте, Roman. Вы писали 27 октября 2010 г., 15:45:28: RL Может ли администрация сайта выдавать вам логи с каких IP был доступ? Там несколько сайтов (5-10 как я понял) и администрация некоторых просто морозится. Да и IP у пользователей часто меняются. RL Как много пользователей? Может есть возможность выдать каждому RL логин-пароль? Тогд будет понятно кто крыса :) Порядка 20 пользователей в разных странах. Логин-пароль для каждого на этих сайтах не получается. RL В любому случае при наличии утечки нужно снимать пол зарплаты (если это RL конечно не меньше, чем стоимость логина на сайт) со всех, у кого есть вход. RL Это мотивирует сотрудников, что они сами найдут крысу и утопят ее в RL офисном туалете :) А если информацию сливает троян? Или другими методами идет утечка (т.е. непосредственно _не_ пользователем)? В итоге, обострение отношений в коллективе и снижение лояльности работодателю со стороны ранее лояльных сотрудников. И как сотрудники будут искать крысу? :) гоняться друг за другом по всему миру? :)) ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
27.10.2010 19:46, Dank Bagryantsev пишет: В итоге, обострение отношений в коллективе и снижение лояльности работодателю со стороны ранее лояльных сотрудников. И со снижением лояльности не согласен. Наоборот. Нужно стремиться к созданию понятия и мотивации семьи... Ведь не будет нормальный человек красть из семьи :) Перед вытяжкой из зарплаты за месяц предупредить о таком действе и объяснить причину с требованием прекратить. А если факты слива повторятся - снимать деньги с объяснением того, что руководителю глупо заниматься поиском вора. Пусть эти вещи решаются внутри семьи. Поверьте - найдут. Обязательно найдут урода, без которого, как говорится, не обходится ни одна семья. Где-то, кто-то, когда-то за банкой пива/кофе намекнул, проговорился, похвалился... Вобщем, иногда сисадминство достаточно тесно стыкуется как с управленческим администрированием так и с социальной инженерией. -- With best wishes, Roman. PS Данный пример касается, как я уже говорил, коллектива в пределах одного офиса. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Втр, 26/10/2010 в 19:19 +0300, Dank Bagryantsev пишет: ... Возможно ли каким-либо способом посылать логины-пароли при входе на сайты, но чтобы пользователь не мог их узнать? (или как минимум пароль). Самое простое: если не хотите, чтобы пользователи вводили пароли - вводите их сами. Включите запоминание паролей в браузере - при следующем входе пользователю не надо будет ничего вводить, и знать пароль ему тоже не будет нужно. Захочет ли кто из пользователей специально прикладывать усилия, чтобы вытащить пароль из базы браузера - зависит от квалификации пользователей и ценности учётных данных. Пока у меня мысли, чтобы установить какую-то промежуточную вещь между пользователями и сайтами. Например, nginx. Перехватить обращение к сайту (или локально изменить DNS, или перенаправлением на шлюзе), переслать на nginx. Там всё, кроме страницы авторизации, запрашивать с оригинального сервера, страницу авторизации перенаправлять на свою заглушку. Хотя такие действия подпадают под man-in-the-middle, и насколько легко можно обмануть конкретный сайт - зависит от сайта, от наличия SSL, и т.п. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Roman Lesnichenko sysadm...@avangard.dn.ua написал: В любому случае при наличии утечки нужно снимать пол зарплаты (если это конечно не меньше, чем стоимость логина на сайт) со всех, у кого есть вход. Переложить решение проблемы на плечи самого коллектива? Ну и методы. Жив совок. Лозунги сменились, флаг перекрасили, а методы те же. Это мотивирует сотрудников, что они сами найдут крысу и утопят ее в офисном туалете :) Самосуд - уголовная статья. Даже, если это шутка. Мотивация на самосуд - подстрекательство к совершению преступления. Нужно стремиться к созданию понятия и мотивации семьи... Да, да - Cosa Nostra. Проходили. Бандформирования, группировки, общаки ... все они начинали с мотивации семьи. А если факты слива повторятся - снимать деньги с объяснением того, что руководителю глупо заниматься поиском вора. Даже так? То есть, сисадмин будет пить пиво со службой безопасности и копить на машину протирая штаны, потому что руководителю показалось глупо дать распоряжение и заставить исполнять кое-кого свои прямые обязанности? Обязательно найдут урода, без которого, как говорится, не обходится ни одна семья. А что его искать? Руководитель! Которому глупо заниматься поиском вора и он не в курсе кому это дело поручить. Тот, кто несёт из семьи - вор! Уроды - это другая категория. Но они есть и кто они, в коллективе как правило знают. -- С уважением, Денис [melcomtec]. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
27.10.2010 23:16, melcomtec пишет: Переложить решение проблемы на плечи самого коллектива? Ну и методы. Жив совок. Лозунги сменились, флаг перекрасили, а методы те же. Ага. И в Омерике демократия. Сколько вам лет, молодой человек? :) Вы реально работали в коллективе? -- With best wishes, Roman. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
27.10.2010 23:39, melcomtec пишет: Roman Lesnichenkosysadm...@avangard.dn.ua написал: Ага. И в Омерике демократия. Если человек имеет приличный возраст и пишет Ага. И в Омерике демократия. это говорит о многом. Сколько вам лет, молодой человек? :) Вы реально работали в коллективе? Что хотите доказать? Что такие методы работы распространены? Я разве говорил, что нет? География. Где живёт и работает человек накладывает свой отпечаток. sysadm...@avangard.dn.ua? dn.ua? Донбасс? Мне продолжать? Не нужно! :) Самоутверждающихся всюду малолетних оранжевых дурачков с гордым адресом в домене хакер.ру видно за версту. -- With best wishes, Roman. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Roman Lesnichenko sysadm...@avangard.dn.ua написал: Самоутверждающихся всюду малолетних оранжевых дурачков с гордым адресом в домене хакер.ру видно за версту. Если бы я самоутверждался, то везде светил своим именем, как Вы. Для рекламы. Теперь для справки. 1. Я не оранжевый. 2. Донбасс хорошо знает не тот, кто смотрит со стороны, а тот кто тут живёт и работает. Люди, которые ездят по стране и зарубеж и рассказывают знакомым о том как они работают. В чём видят проблемы и что им не нравится. Особенно, если они меняют работу и им есть с чем сравнивать. Я уже не говорю о тех, кому удалось вырваться после института заграницу, работать по специальности. Та же Германия. 3. Домен хакер.ру - это не больше, чем уважительное отношение к памяти о тех временах, когда с мальчишками до дыр зачитывался один номер на весь город. Если бы я не знал о том, как работают коллективы, может я бы и воспринял спокойней ситуацию, когда описанные Вами методы - это норма. Вы бы хоть Школу успеха Владимира Довганя прошли, для очищения мировоззрения. -- С уважением, Денис [melcomtec]. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
27.10.2010 23:49, melcomtec пишет: Roman Lesnichenkosysadm...@avangard.dn.ua написал: Уже не в первый раз замечаю, что ты, будучи анонимом, устраиваешь флейм не по теме. Очень напоминаешь некоего Михаила, которого замахались отсюда пинками под зад выгонять. Опять на ты? Это с такими как ты? Ещё не хватало! Флейм не по теме начался с Вас. Вместо технического решения, о котором просили, Вы затеяли болтовню и начали строить из себя крутого. Ну да это понятно. dn.ua - о чём ещё говорить! Комплексы? Чего вам в имени моем?(с) Вас в детстве побили донецкие? Или хуже того, огуляли может в извращенной форме? Да, наши такое могут. Где просили техническое решение? Вот цитата автора: такое может сделать? Или что-то другое? Я предложил что-то другое, которое работает во всем мире вааще-то... Ну да. У нас ведь благодаря Вам в рассылке sysadmins@lists.altlinux.org уже гиперболы посыпались! ну я не знал, что вы настолько недалеки и все воспринимаете буквально. Извините. Нет, конечно! Снять ползарплаты со всего коллектива только потому, что админу конторы в домене dn.ua за питьём пива некогда работать. Мальчик! Я не админ абсолютно :) Ты заблуждаешься. далеко не админ. Линукс - мое хобби. Более того. Предложенный мною метод с точки зрения руководителя наиболее выгодный: бесплатный, быстрый, не требует ничего дополнительного. Сроки придумывания и реализации прослойки непредсказуемы. Мы не знаем условий. Мы не знаем технических нюансов. Мы не знаем квалификации админа. Ты же смотришь на него со стороны вора :) И закатываешь истерику. Спустись на землю, герой. Совок совершенно не при чем. О Господи! Мне нечего ответить. Закончишь школу, институт, поработаешь - потом поговорим. Не о чем нам разговаривать! Я на таких как ты каждый сезон смотреть устаю. И у всех одинаковые резюме. Почти. Тяжело выбирать зама дворника? А чего ты ваще влез, если нам не о чем разговаривать? Я с тобой говорил? Ты влез и начал гавкать. Удивительное поколение. Прутся куда их не звали и пытаются командовать. -- With best wishes, Roman. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Срд, 27/10/2010 в 19:49 +0300, Dank Bagryantsev пишет: ... Ситуация осложняется тем, что у меня нет физического доступа к ноутбукам пользователей и они находятся в разных странах Итого, переформулируя/уточняя постановку задачи: есть организация X, использующая N платных веб-сервисов. С этими сервисами работают M сотрудников, которым, соответственно, передаются логины/пароли. Пароли к сервисам выдаются на организацию, одну и ту же учётную запись используют одновременно несколько сотрудников. Причём сотрудники работают удалённо и контролировать их невозможно. Поступающие вместе с счетами на оплату данные по числу входов, запросов, и т.п., даже с указаниями точного времени и IP пользователя, не позволяют понять, кто именно из сотрудников и что именно использовал. Как следствие, при подписывании счетов у руководства возникают смутные подозрения и большое желание ввести учёт и контроль. Так? ... Пока у меня мысли, чтобы установить какую-то промежуточную вещь между пользователями и сайтами. ... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от пользователя до контролируемой машины, и уже с неё / через неё - обращение к сайтам. В зависимости от того, что это за сайты, как с ними работают пользователи и т.п. - это действительно может быть или терминал-сервер, или прокси-сервер. Или и то, и другое - своё для разных сайтов. Терминал-сервер будет универсальнее в организации доступа к сайтам - но потребует больше трафика и может вызвать проблемы, например, при необходимости печати или передачи файлов. Прокси-сервер потребует разбора систем авторизации для каждого из сайтов, написания фильтров под них (и изменения этих фильтров при изменениях на сайтах), и дополнительные проблемы в случае использования сайтами SSL. Идея с nginx заманчивая. Случайно нет примера реализации? Готовых рецептов по изменению содержания _запросов_, увы, не скажу. По-идее, можно смотреть в сторону встроенного Perl, в обработчике делать замену (подмену) паролей в запросе, далее передачу запроса на веб-сервер, и возврат полученного ответа клиенту. ... Но да, если сайт доступен только по HTTPS, то этот способ скорее всего не подойдет. По размышлению - а почему нет? По-моему, в proxy_pass можно использовать запросы через https:// . А для nginx сделать свой самоподписанный сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента таким сертификатом будет сильно недоволен, но в данном случае вполне достаточно проинструктировать пользователей принять эту подделку. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Здравствуйте, Michael. Вы писали 27 октября 2010 г., 20:21:47: MS Возможно, он как раз и сработает MS (см. тж. http://www.altlinux.org/FreeNX). Да, я уже присматривался. И этот вариант становится тем более реальным, чем возникает бОльший объем кодинга в других вариантах. :) -- С уважением, Dank ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Здравствуйте, Nikolay. Вы писали 28 октября 2010 г., 0:54:58: Ситуация осложняется тем, что у меня нет физического доступа к ноутбукам пользователей и они находятся в разных странах NAF Итого, переформулируя/уточняя постановку задачи: NAF есть организация X, использующая N платных веб-сервисов. NAF С этими сервисами работают M сотрудников, которым, соответственно, NAF передаются логины/пароли. Пароли к сервисам выдаются на организацию, NAF одну и ту же учётную запись используют одновременно несколько NAF сотрудников. Причём сотрудники работают удалённо и контролировать NAF их невозможно. NAF Поступающие вместе с счетами на оплату данные по числу входов, NAF запросов, и т.п., даже с указаниями точного времени и IP пользователя, NAF не позволяют понять, кто именно из сотрудников и что именно использовал. NAF Как следствие, при подписывании счетов у руководства возникают смутные NAF подозрения и большое желание ввести учёт и контроль. Так? Совершенно верно. ... Пока у меня мысли, чтобы установить какую-то промежуточную вещь между пользователями и сайтами. NAF ... с помощью которой такой учёт и можно было бы проводить. Т.е., VPN от NAF пользователя до контролируемой машины, и уже с неё / через неё - NAF обращение к сайтам. NAF В зависимости от того, что это за сайты, как с ними работают NAF пользователи и т.п. - это действительно может быть или терминал-сервер, NAF или прокси-сервер. Или и то, и другое - своё для разных сайтов. NAF Терминал-сервер будет универсальнее в организации доступа к сайтам - NAF но потребует больше трафика и может вызвать проблемы, например, при NAF необходимости печати или передачи файлов. Трафик, в принципе, не проблема. Передачу файлов, скорее всего, придется запретить. Печать - тут надо думать. Пока передо мной не ставят задачу сохранять информацию с сайтов. Возможно будет достаточно и информации на экране. NAF Прокси-сервер потребует разбора систем авторизации для каждого из NAF сайтов, написания фильтров под них (и изменения этих фильтров при NAF изменениях на сайтах), и дополнительные проблемы в случае использования NAF сайтами SSL. Да. Но пока никаких толковых наработок я не нашел в этом направлении. Идея с nginx заманчивая. Случайно нет примера реализации? NAF Готовых рецептов по изменению содержания _запросов_, увы, не скажу. NAF По-идее, можно смотреть в сторону встроенного Perl, в обработчике NAF делать замену (подмену) паролей в запросе, далее передачу запроса на NAF веб-сервер, и возврат полученного ответа клиенту. ОК. Попробую покопать в этом направлении. Пока нашел только решение для nginx для basic-аутентификации. ... Но да, если сайт доступен только по HTTPS, то этот способ скорее всего не подойдет. NAF По размышлению - а почему нет? По-моему, в proxy_pass можно использовать NAF запросы через https:// . А для nginx сделать свой самоподписанный NAF сертификат. Да, это чистый вариант man-in-the-middle, и браузер клиента NAF таким сертификатом будет сильно недоволен, но в данном случае вполне NAF достаточно проинструктировать пользователей принять эту подделку. Я не уверен, но если доступ к nginx будет все-равно через VPN, то можно будет попробовать вариант перебрасывать с http nginx'a на https сайтов (где https обязателен), чтобы избежать самоподписанных сертификатов. Кстати, а вариант с промежуточным http-сервером и открытием сайтов во фреймах и внесение-отсылка логинов-паролей через JavaScript, в моем случае будет работоспособным? -- С уважением, Dank ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
В Чтв, 28/10/2010 в 05:40 +0300, Dank Bagryantsev пишет:
...
пока никаких толковых наработок я не нашел в этом направлении.
Там наработок-то... В простейшем случае для http:// на nginx'е
конфигурация для сайта вида
server {
listen 80;
server_name .service.tld;
proxy_set_header Host $host;
location /auth {
if ($request_method = POST ) {
proxy_pass http://filter_host;
}
proxy_pass http://service.tld;
}
location / {
proxy_pass http://service.tld;
}
}
И на filter_host выполнять подмену паролей в отправляемых POST'ах.
Например, так:
--
#!/usr/bin/perl -w
use strict;
use HTTP::Proxy;
use HTTP::Proxy::BodyFilter;
my $proxy = HTTP::Proxy-new(port = 80);
$proxy-push_filter(
mime = 'text/html',
request = HTTP::Proxy::BodyFilter-new(
sub {
my ( $self, $dataref, $message, $protocol, $buffer ) = @_;
$$dataref =~ s/fakepassword/realpassword/g;
}
)
);
$proxy-start;
--
(Выдрано из документации к HTTP::Proxy, работоспособность не
проверялась.)
... но если доступ к nginx будет все-равно через VPN, то
можно будет попробовать вариант перебрасывать с http nginx'a на https
сайтов (где https обязателен), чтобы избежать самоподписанных сертификатов.
Этот вариант сильно хуже - придётся разбирать на прокси-сервере все
ответы и менять https:// на http:// перед отправкой их клиенту. И
наоборот. Причём только в нужных URL.
Кстати, а вариант с промежуточным http-сервером и открытием сайтов во
фреймах и внесение-отсылка логинов-паролей через JavaScript, в моем
случае будет работоспособным?
Зависит от сайтов. На первый взгляд, потребует больше программного кода
на стороне сервера, и передачу на сторону пользователей (и потенциальных
троянов на их машинах) исходных паролей.
--
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
