Internet Explorer. Potenciální bezpečnostní hrozba

 
 
Potenciální bezpečnostní hrozba
 
více:
 
 
 
Převzato z viz. link výše:
Wednesday, December 17, 2008 12:25 PM by Ondrej Vysek

re: Potenciální bezpečnostní hrozba. Prosím, čtěte! (961051)

Ono diskutovat to jak je co bezpečné či nikoliv je hezké a vždy rozpoutá diskuzi 🙂 Položme se na problém. Pokud by existovaly kvalitní web stránky, nemohly by být provedeny útoky typu SQL injection, které vloží kód, jenž může následně zneužít/využít jakéhokoliv problému v jakémkoliv operačním systému či programu. Můžeme ale zajít dál, jak tu výše bylo řečeno, počítač je tak bezpečný, jak se chová uživatel, dovolím si odhadnout, že "kvalitní" weby tímto problémem netrpí. Povětšinou to budou weby, které nabízejí obsah nelegální, pornografický,… Můžeme jít ale ještě dál, ale asi již do hypotetické roviny, proč existují / co útočníky vede k tomu, aby tyto útoky vedli? Myslím si, že není možné napsat jasnou odpověď na problém, který je natolik komplexní (od výrobce software, přes webmastery, konzumenty obsahu webu až po útočníky). Možná je tento příspěvek pouhým plácnutím do vody, ale stejně tak doufám, že přispěje k porozumění této problematiky tak nějak z nadhledu, aniž by uživatel (více či méně IT znalý), musel dělat rezolutní rozhodnutí – "nebudu používat "něco", protože je kolem toho "humbuk"" (berte s rezervou a velmi nadneseně:) )

hauk 😉

Advertisements

KERBEROS v. NTLM

 
 
Nakonec velmi výživné setkání WUG nadšenců, nastínilo tentokrát, jak to chodí s autentizací ve Windows.
 
 
Problematika je celkem jasná, proto nastíním jen bodovitě, to co mě nejvíce zaujalo. Podrobnější informace pak najdete právě na stránkách
p. Ševečka, kt. nás získal Výbornou přednáškou. http://www.sevecek.com/
 
 
Kerberos X NTLM autentizace
 
– hesla se ukládají ve formě hashů
NTLM autetizace už se táhne widlema celé roky. Visty mají by default nastaveno NTLMv2, to je bezpečné, pokud máte silné heslo a neukládáte
hodnotu hash.
 

Na DC je to celé v:

 
Na stanicích v registrech HKLM\SAM\…
 
No a pak už stačí v programu Cain ověřit, jak dlouho se bude heslo prolamovat. Spíše je to test, pro ověření nastavení politiky hesel.
Každopádně LM autentizaci nepoužívejte! Také toto není bezpečné: http://msdn.microsoft.com/en-us/library/ms918995.aspx

– NTLM využívá IP adresy, proto nepotřebuje tzv. tikety, kt. se generují při kerberos autentizaci.
 
KERBEROS upřednostňuje jména před IP adr. Nelze ho tedy použít pro přístup přes internet, protože nevidí vaše DNS. Ve Vistách pak Kerberos
IP nepoužívá vůbec!
 
Kerberos funguje tedy na principu tiketů. Je můžete sledovat pomocí utilky:
 
kerberos lze omezovat i na určitý service type, např. LDAP atd. Nastavení je v ADUC na účtu stroje, záložka Delegation. Toto může vést k
upřesnění ověření clienta, kt. se vám hlásí na požadovaný stroj, kt. ještě využívá nějaký dotaz jinam, třeba do DB atp. Pozor na
bezpečnost a nezapínejte "use any authetication protocol".
 

 
Konec přednášky vlastně směřoval k navedení používání čipových karet = SMART CARD. Je to velmi dobré, bezpečné a praktické hlavně z hlediska
využívání pro jiná ověřování, než-li do Windows (dvěřní systém, docházka, stravování atd.). Také to není levné, že. O tom ale až jindy.