Autor: Witold Jurczyk (wjur_at_pg.gda.pl)
Data: Thu 25 May 1995 - 10:18:13 MET DST
Witam.
Z autoryzacja jest tak, ze im lepsza z punktu widzenia
bezpieczenstwa systemu tym bardziej klopotliwa dla uzytkownika.
Rozmyslajac kiedys nad systemem autoryzacji do krj-ta zdecydowalem sie, na
dwie rzeczy:
1) ze bedzie
2) ze bedzie "zgrubna"
Tak wiec podczas otwierania sesji prosze kazdego uzytkownika o podanie
swojego adresu zwrotnego e-mail, nastepnie sprawdzam "z grubsza", czy adres
ten ma sens. "Z grubsza" oznacza, ze sprawdzam, czy istnieje taki komputer
lub czy jest to domena posiadajaca rekord MX.
Poniewaz autoryzacja przez podanie adresu zwrotnego e-mail znana
jest z uslugi "anonymous ftp" - nie sadzilem, ze bedzie sprawiac klopoty.
A jednak sprawia. Poniewaz niekrorzy uzytkownicy maja stosunkowo dlugie
adresy zwrotne, trudno im wpisywac je bez bledu "na slepo", w przypadku ftp
moznabylo sobie poradzic przez automatyczna autoryzacje, w przypadku krj -
niestety nie.
W sumie nie tylko ludzie z dlugimi nazwami mieli problemy (choc
przede wszystkim oni) a "odsetek" sesji odrzuconych na tym etapie jest
niestety stosunkowo duzy - choc jak widze nie do konca skuteczny.
Mam wiec trzy wyjscia:
- zaostrzyc autoryzacje (*), ale wtedy bedzie ona bardziej
klopotliwa.
- zostawic jak jest
- poniewaz i tak jest ostra i dla tego ludzie probuja "obejsc"
nalezy ja rozluznic.
(*) Jak zaostrzyc autoryzacje.
Szymon Sokol (szymon_at_uci.agh.edu.pl) wrote:
: Witold Jurczyk (wjur_at_pg.gda.pl) wrote:
: : postepowaniu (a wiec na moje system zdal egzamin) a teraz bede musial
: : chyba zaostrzyc autoryzacje (choc jeszcze sie nad ta sprawa zastanowie).
: ^^^^^^^^^^^^^^^^^^^^^^
: Ciekawe jak :-( Pytanie nie jest retoryczne.
:
Moge pytac uzytkownika o wiele szczegolow - tak dzialala autoryzacja
(jak dziala w tej chwili nie wiem) autoryzacja na jednym z warszawskich
doskonale znanych BBS-ow wlaczonych do Internetu, o ile dobrze pamietam BBS
pytal o Imie, Nazwisko i chyba date urodzenia.
Moge zaprzac do autoryzownia
- sendmaila,
- fingera,
oraz sprawdzac co wspolnego z podanym adresem ma komputer, z ktorego
uzytkownik pracuje.
Wszystko to moge - ale po co - niestety dla zwyklego uzytkownika
bedzie to bardziej klopotliwe (taki PC-et np. na fingera nie odpowie i
sesja zostanie odrzucona.)
Rozwiazanie z rozluznieniem autoryzajcji wraz ze stwierdzeniem "tcpd
prawde Ci powie" widze niechetnie - uzytkownik (mimo, ze nie jest) moze miec
wrazenie swojej anonimowosci, a niechec do takich sytuacji mieli juz faceci
robiacy autoryzacje to "anonymous ftp".
Decyduje sie wiec (czyli zastanowilem sie :-) ), ze zostanie jak
jest (niestety ludzie z dlugimi adresami zwrotnymi beda klnac dalej).
Sprawdzilem tylko, czy w informacji wyswietlanej na poczatku jest jest slowo
"SWOJ" w odniesieniu do adresu e-mail, a ze jest "podac swoj pelny adres
e-mail jako haslo" wiec nic nie zmieniam. Bede jednak sprawdzal jak pisalem
"co wspolnego z podanym adresem ma komputer, z ktorego uzytkownik pracuje",
ale nie bede sesji niejasnych odrzucal, o fakcie proby wpisania nie
swojego adresu bede informowal wlasciwego administratora sieci.
- Witold Jurczyk
(tym razem w roli cerbera :-( )
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 15:51:20 MET DST