n  pivx.com

n  securityfocus.com

n  packetstorm.org

n  securitylab.ru

n  guninski.com

n  graymagic.com

и вы найдете все о том, как совершается атака на чужую информацию. (Врага надо знать в лицо.)

Рассмотрим более простой вариант аутентификации. Данный способ реализован у одного бывшего крупнейшего провайдера. Аутентификация происходит без использования cookie. Это заставляет пользователей постоянно вводить имя и пароль. Данная схема отбрасывает огромное число возможных дыр, но при этом подобная схема несколько нагромождает внутренний код рутинными операциями, при этом несложно допустить ошибку.

Рассмотрим схему подписки на получение логов. Раз аутентификация происходит без использования куков, то было бы логично сделать операцию получения логов в одной форме с аутентификацией, однако у провайдера это происходит в 2 шага:

n  Аутентификация.

n  Изменение параметров получения логов.

Возникает вопрос, каким образом мы на втором шаге узнаем о том, что именно хозяин логов делает изменения или просматривает информацию? Об этом заботится первый шаг следующим образом: после аутентификации (в случае успеха) на странице изменения параметров появляется скрытый атрибут:

<INPUT NAME="logi" TYPE="hidden" VALUE="123">

где VALUE – имя пользователя. Больше никаких данных не требуется, что дает нам возможность, во-первых, перейти непосредственно ко второму шагу без аутентификации, а нужное имя придумать какое угодно, например любимой подруги. Данное свойство кривой аутентификации позволяет просматривать чужую статистику пользования Интернетом, телефоны и подобную приватную информацию.

А наша задача состоит в том, чтобы обеспечить надежную защиту от подобного безобразия. Теперь мы понимаем, что вариант без куков становится еще и неудобным не только со стороны клиента. Решение задачи лежит где-то рядом: нам необходимо уметь создавать короткие сессии, привязанные к IP, но исключить возможность при помощи Cross Site Scripting атаки получать доступ к чувствительной информации.

Ошибкой mail.ru является присвоение уникального идентификатора сессии, не зависимого от времени или других случайных факторов. Это должно позволить получить доступ к почте следующим образом: