graf: (Default)
[personal profile] graf
Скажите мне, умные люди, правильно ли я понимаю, что если я пользуюсь этим сервером http://freemyfeed.com/ чтобы добавить ЖЖшные ленты себе в гугл-ридер и не расшариваю их в ридере, то мой "alternate url" никто не увидит и это не раскрывает ничьи подзамки?

Date: 2010-02-10 07:05 am (UTC)
From: [identity profile] shipilev.livejournal.com
Ну вот после такой заявки:

Q: Wait! My feed URL, username and password are all stored in the alternate URL! How is this secure?
A: Calm down. We have put a lot of thought into this. The feed URL and the username are usually not considered secure information and thus are not really strongly protected. However, the password is encrypted in the URL using a rotating algorithm. Only the lead developer of the application even has full access to the encryption methods.

...я бы сразу передумал вбивать туда свой пароль. Безопасность, основанная на сокрытии алгоритма -- это fail.

Date: 2010-02-10 07:11 am (UTC)
From: [identity profile] graf-vk.livejournal.com
Если я правильно понимаю тут сказано "ну, вообще мы не заморачивались с защитой, но оно слегка шифруется", нет?

Безопасность основана на том, что я не буду светить этот URL, насколько я понимаю.
Альтернативный вариант -- digest авторизация, в которой пароль вообще прямым текстом написан.

Вопрос собственно в том, можно ли этот URL достать из гуглридера если я не расшариваю соответствующие фиды.

Date: 2010-02-10 08:35 am (UTC)
From: [identity profile] shipilev.livejournal.com
Не засветить URL будет сложно: пойдёшь на гуглридер через http и вот он, родной, летает по сети в открытом виде. Ходи через https://reader.google.com/ хотя бы -- там сам GET уже зашифрован.

Предыдущий коммент вот к чему. Допустим, я перехватил твой URL, что мне дальше с ним делать? Сам по себе URL мне, конечно, даёт доступ от твоего имени, но только до того момента, пока алгоритм не сменят. Теперь, если я умудрюсь хакнуть FreeMyFeed и достать код алгоритма (который должен быть симметричным), то я легко получаю твой оригинальный пароль. При чём чем больше юзеров на этом сервисе, тем меньше стоимость получения одного пароля, тем привлекательнее он для залётных хакИров.

Date: 2010-02-10 11:15 am (UTC)
From: [identity profile] graf-vk.livejournal.com
Если кто-то станет сниффить мой трафик он в любом случае сможет получить мой пароль от ЖЖ, я к его защите отношусь не слишком параноидально. Меня интересует скорее вопрос защиты от честных людей. Чтобы простым способом люди из-за этой схемы не получали доступа к чужим подзамкам.

Date: 2010-02-10 12:14 pm (UTC)
From: [identity profile] shipilev.livejournal.com
Ага, ну в таком случае вопрос странный. Ответ "да, никто не увидит".

Date: 2010-02-10 04:00 pm (UTC)
From: [identity profile] graf-vk.livejournal.com
А что Вы хотели сказать этой картинкой? ;)

Date: 2010-02-10 04:13 pm (UTC)
From: [identity profile] shipilev.livejournal.com
Это иллюстрация "Защита от честных людей".
Мне просто взрывает мозг присутствие этого термина в посте с заголовком "Internet security" :]

Date: 2010-02-10 04:23 pm (UTC)
From: [identity profile] graf-vk.livejournal.com
А, ну так я заголовок могу поменять ;)

Чем-то мне наш разговор напомнил спор о диалоге в фаерфоксе, в котором показываются сохраненные пароли. Так вот я в том разговоре на стороне пользователя.

Profile

graf: (Default)
graf

April 2011

S M T W T F S
     1 2
3456789
10111213141516
17181920212223
24252627282930

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 20th, 2017 05:51 pm
Powered by Dreamwidth Studios