вопрос по безопасности комп сетей
ну попробуй.
можно ещё погуглить. перврое что пришло в голову: http://yandex.ru/yandsearch?text=%D0%BF%D0%B5%D1%80%D0%B5%D1...
можно ещё погуглить. перврое что пришло в голову: http://yandex.ru/yandsearch?text=%D0%BF%D0%B5%D1%80%D0%B5%D1...
Вероятно, ответ где-то здесь:
http://blogs.technet.com/b/josebda/archive/2010/12/01/the-ba...
http://mccltd.net/blog/?p=1252
http://intercepter.nerf.ru/SMB_Hijacking.Kerberos_is_defeate...
http://blogs.technet.com/b/josebda/archive/2010/12/01/the-ba...
http://mccltd.net/blog/?p=1252
http://intercepter.nerf.ru/SMB_Hijacking.Kerberos_is_defeate...
NTLM хэш передаётся не напрямую, а дело происходит так (если упростить, на самом деле конечно посложнее):
сервер генерит случайный ключ и отсылает его клиенту
клиент в ответ шлёт хэш от конкатенации этого ключа с NTLM хэшем пароля
сервер тоже считает хэш от конкатенации ключа и того NTLM хэша, который есть у него в базе
если совпали значения - то доступ разрешается, иначе нет.
Так что просто сниффингом пакетов ничего не добьёшься.
сервер генерит случайный ключ и отсылает его клиенту
клиент в ответ шлёт хэш от конкатенации этого ключа с NTLM хэшем пароля
сервер тоже считает хэш от конкатенации ключа и того NTLM хэша, который есть у него в базе
если совпали значения - то доступ разрешается, иначе нет.
Так что просто сниффингом пакетов ничего не добьёшься.
Если это простой и очень стойкий алгоритм, то почему любая авторизация, например в вебе, например, на этот же форум, устроена не так же?
Если это простой и очень стойкий алгоритм, то почему любая авторизация, например в вебе, например, на этот же форум, устроена не так же?потому что веб не обязательно оснащён javascript'ом на стороне клиента
для решения задачи секьюрности используется SSL
помимо JS вот еще о чем подумал - сейчас в ввебе как правило хранится не пароль а md5 хэш пароля например. и авторизация идёт по сравнению хэшей.
если перейти на авторизацию, про которую ты сказал, что проблема в JS, то в базе ведь хэши уже хранить не получится - только сам пароль, верно?
если перейти на авторизацию, про которую ты сказал, что проблема в JS, то в базе ведь хэши уже хранить не получится - только сам пароль, верно?
Хоть и хранится в виде хэша, передается в большинстве случаев в чистом виде.
вот о чем и речь. а если перейти на передачу хэша, о чем я и спросил - то придётся то хранить ведь тогда в чистом виде?
Зачем? Храни хэш и сравнивай с хэшем.
зачем в базе данных сейчас хранят хэши md5 а не сами пароли?
зачем в базе данных сейчас хранят хэши md5 а не сами пароли?апну вопрос. потому что ответа на него зависит почему можно или нельзя перейти на авторизацию по хэшу.
Думаю, тебе лучше какой-нить учебник на эту тему почитать.
если считать что я уже прочитал его то каков будет твой ответ?
если считать что я уже прочитал его то каков будет твой ответ?в таком случае, таких глупых вопросов просто не будет, а значит не будет и ответов.
апну вопрос. потому что ответа на него зависит почему можно или нельзя перейти на авторизацию по хэшу.КО подсказывает, что в таком случае этот хеш ничем не будет отличаться от пароля со всеми вытекающими последствиями.
Учебник лишним не будет всё же.
я к тому , что просто не прав, указываю на причину "отсутствие JS"
почему можно или нельзя перейти на авторизацию по хэшуНу почему нельзя, есть digest аутентификация, там как раз вместо пароля передается хэш его (и не только его).
ну, поставь мне "минус один", раз так считаешь
вообще, есть kerberos аутентифкация (не путай с авторизацией) для веба в качестве плагинов к браузерам. Но их почему-то не любят. Сам я вебом не занимаюсь и не знаю от чего.
Но, учитывая насколько веб как технология тяготеет к костылям, могу предположить. Сначала это было не нужно, потому что вебу не требовались сессии и хватало одноразовой аутентификации по паролю. Потом стало нужно и появились соответствующие плагины (как и java). Потом нужно стало обслуживать стаю макак-программистов, встраивать рекламу всюду, делать красивую картинку "кроссплатформенно" (это значит без плагинов, зато с зависимостями от браузера) и понеслась эпоха яваскрипта. Но она пока не победила, чтобы на нём стали приложения писать, а браузеры занимаются украшательством и сокрытием настроек от опытных пользователей, им некогда улучшать чисто сетевые свойства.
Но, учитывая насколько веб как технология тяготеет к костылям, могу предположить. Сначала это было не нужно, потому что вебу не требовались сессии и хватало одноразовой аутентификации по паролю. Потом стало нужно и появились соответствующие плагины (как и java). Потом нужно стало обслуживать стаю макак-программистов, встраивать рекламу всюду, делать красивую картинку "кроссплатформенно" (это значит без плагинов, зато с зависимостями от браузера) и понеслась эпоха яваскрипта. Но она пока не победила, чтобы на нём стали приложения писать, а браузеры занимаются украшательством и сокрытием настроек от опытных пользователей, им некогда улучшать чисто сетевые свойства.
Оставить комментарий
cera1
насколько я знаю, когда компьютер А коннектится по SMB к компьютеру Б (оба компа работают на винде 7, допустим), то А передаёт Б NTLM хеш текущей сессии (по крайней мере, если входить не через команду net use /user:<юзер> <пароль> или если credentials заранее не запомнены в компе А для компа Б).так вот, тогда получается, что поставив на компе Б прогу захвата всех пакетов, проходящих через его сетевую карту (напр. WireShark), то можно отловить логины и хеши всех пользователей, которые пытались логиниться на Б (пусть даже неуспешно)?
это действительно так что ли?
то есть когда я захожу в локальной сети на чей-то комп, то потенциально этот комп может записать мой NTLM хеш и дальше пользоваться им?