<HELP> for explanation

Блог им. skatino

Внимание! Опасность! Автоматический вход на смарт-лаб!

на работе локальная сеть, настроен прокси сервер, в интернет выходим через общий ip. схема стандартная и наиболее популярная.
зарегестрирован на смарт-лабе и пользуюсь им только я.
но любой сотрудник, с любого компьютера, в любом браузере при открытии смарт-лаба автоматически входит под моей учетной записью!!!
со всеми вытекающими..

как вам такое пришло в голову и зачем вы такое реализовали?
имхо грубая ошибка и дыра в безопасности
 

Дыра в безопасности у вас на работе, что вы все можете на смарт-лаб с рабочей сети выходить!:)
avatar

Gravizapa

Gravizapa, у меня на работе особый статус… я сотрудник ит-отдела со всеми вытекающими
skatino, Вот это и есть дыра. Особого статуса ни у кого не должно быть. Разве что у вас есть отдел или человек отвечающий за ИБ.
«хотели как лучше, получилось как всегда»©
avatar

GHJK

И еще, IP тут вообще не при чем имхо. Думаю дыра у вас на работе :))
avatar

Gravizapa

Gravizapa, давай про дыру у меня на работе подробнее…
зы я в ит-отделе работаю, правда программист, а не админ. но админ сидит напротив :)
skatino, Ну первая дыра и самая очевидная — у вас открыт доступ на всё подряд или с незначительными ограничениями.

Ну а вторая не столь очевидна, но если сущ. проблема описанная в посте, то вина в этом с 90% ваших админов, а не смартлаба:)
skatino, однозначно у вас на работе дыра.
Очевидно, что накосячили с местами хранения локальных настроек. Вместо хранения на локальных компах храните где-то в общей куче на серваке, откуда идет выход в инет. Вот при запросе авторизации с любой машины в вашей ЛВС и идет сразу авторизация.
выход нажимайте
заметил это давно… когда себе компьютер менял весной этого года. тогда приятно удивился.

месяц назад заметил такое случайно когда открыл самарт-лаб на другом компьютере.
сегодня специально попросил открыть сайт и посторонний человек оказался на сайте под моей учетной записью…
avatar

skatino

skatino, а говоришь, что только у тебя особый статус. А получается любой может зайти. :-)
Очевидная дыра. :))
skatino, у вас на прокси кешируются кукисы? отключите кэширование, может поможет
абсолютно согласен, смотрите организацию локальной сети у себя. У нас тоже в офисе локалка, ничего подобного нет. Сам проверял.
Виктор~, кроме смарт-лаба все работает нормально :)
skatino, ???? пойду еще раз прокачаю, может «новые фичи» от Мартынова где нить задырявили
Виктор~, ошибка давно я думаю изначально…
хотели как лучше. сделали автоматическую авторизацию по ip-адресу. наберут студентов по объявлению…
skatino, такого точно нет у меня мобильный комп и домашний имеют разные IP-адреса
Виктор~, что мешает сделать проверку нескольких ip-адресов и подставлять логин и пароль не по одному адресу, а из списка
а кто-нибудь в Вашей компании знает про сМарт-лаб? Где я раньше работал — слова типа «фьючерс», «опцион», не говоря про «сМарт-Лаб» никто и не знал…
Александр Шадрин, никто не знает… мне и учетка на смарт-лабе нужна только для того, что бы «ипанутые» кнопки и банеры не мешали читать текст :)
Александр Шадрин, всё меняется))популярность растёт)
Проверил у себя на работе. Все нормально.
Картышев Иван, конфигурацию сети подскажешь?
загони у других сотрудников адрес смартлаба в небезопасные узлы и тогда им система не даст на смартлаб зайти
Сергей Воронцов (sergey-110), у меня нету проблемы с этим… у меня админ под рукой… заибанить можем на любом уровне. но для кого-то это может быть важным
Сергей Воронцов (sergey-110), причем в первую очередь это надо сделать на компах у всех руководителей, вплоть до директоров и хозяина, т.к. у них мозгов и свободного времени побольше (шансов захотеть войти на СмартЛаба в разы выше). Ну а если засекут за этой процедурой то можно и работу потерять. Хотел бы я послушать отмазон какого-нибудь линейного сотрудника, который без моего разрешеия зашел в мой кабинет и что-то там делает за моим компом трясущимися руками, я думаю ему пистец.
Wilson, это не мой вариант…
Wilson, я у начальника на компе на смартлаб и захожу

палево…
Wilson, :-) представил эту картину в красках, как говорится. Очень кровожадно выглядите :-)
передавай админу привет и скажи, что он олень )))
1. всегда надо нажимать «выход». всегда.
2. если инет быстрый и траф не принципиален — при выходе из браузера — кеш под ноль. или просто кэш отрубить. этот архаизм придумали для диалапа 56кбит.
3. опять же если быстрый нет — что мешает зайти на домашний комп удаленно и сидеть за домашним рабочим столом?
Алексей (rwsmart), не надо меня учить жить. тем более про ИТ… :)
А кстати. Скорее всего прокси хранит кэш страницы и даёт его любому кто пытается на смарт зайти. Вот вам и авторизация.

Это как чисто вероятностный пример.
avatar

Gravizapa

Gravizapa,
админ: почему такого не наблюдается на остальных ресурсах которые требуют авторизации? скорее всего на смарт-лабе идет авторизация не через куки, а через проверку по ip-адресам. что является грубейшей ошибкой
skatino, ну поверь, тогда воплей об этом было СОТНИ И ТЫСЯЧИ.
Gravizapa, +100500
Самый вероятный вариант.
Я думаю у них не просто интернет расшарен — а через кеширующий прокси.

Или админ, что напротив сидит, очень до чужой почты любопытный, и какуюто мен-ин-зе-мидл софтину поставил. В любом случае ему не жить.
avatar

Spekyl

Spekyl, админ царь и бог в локальной сети… нам не нужно никакого стороннего софта что бы мониторить за пользователями любого…
skatino, Только что проверил:) В сеть залез через прокси с одним IP с разных машин и учеток. Нет никакой авторизации на 2й учетке. Так что капайте дыры у себя:)
skatino, только не на ssl протоколе
Проверил с планшета в своей локалке (все идет через NAT, т.е. тоже общий IP), авторизации на планшете нет, на компьютере есть, скорее всего у Вас прокся что то лишнее кеширует
Сергей Кудрявцев, тогда вопрос… почему только смарт-лаб кеширует?
проверил в двух разных браузерах на одном компьютере, в одном авторизован, в другом нет, все нормально.
в принципе это сигнал администраторам ресурса…
если им будет нужна какая-то дополнительная информация от меня постараюсь её предоставить.
буду только рад если на смарт-лабе все хорошо…
avatar

skatino

Если такое творится — это однозначно дыра и ответственность смарт-лаба, ибо он обязан обеспечивать безопасность.
Hedgehog, Ну если уж говорить об этом, то смартлаб вообще никому и ничего не должен.
Gravizapa, Глубоко ошибаетесь. Если претендует на место профессионального, цивилизованного и безопасного интернет ресурса, то должен.
Если Смарт-лаб мешает работе, Ну её нах… эту работу)))
avatar

Acertado

бугога…
1.админ нажал выход на своем компе, из под моей учетки. при повторном открытии сайта опять оказался под моей учеткой.
2.почистили кукисы на прокси… ничего не изменилось.
avatar

skatino

3. отключил полностью кеш на прокси… результат тот же

кроме того… оказывается админ вообще без прокси ходит в тырнет. а все остальные через прокси.

единственное что нас объединяет — общий внешний ip-адрес
skatino, вас еще один гейт объединяет. И вера в богоподобие админа.

Роутер-то у вас аппаратный или комп под это дело приспособили?
Spekyl, админ как админ… давно в теме. опыт большой, квалификация высокая.
skatino, помимо кукесов прокся может просто держать свою сессию открытой хз сколько времнени. Какой прокси-то? Как называется?
Spekyl, вроде проблема пропала… админ говорит что скорее всего был какой-то глюк. глюк именно между нашей прокси и смарт-лабом. так как не наблюдается у других пользователей и не наблюдается у нас на других сайтах.
проверил у некоторых пользователей… сейчас автоматически не логинятся.
skatino, Лучше посмотрите что отрубили по итогу. То и помогло.
Gravizapa, моему админу не интересно… на смарт-лаб ему покуй, а на остальной интернет жалоб нет :)
skatino, но на заметку себе конечно взяли… если вдруг появится такая проблема снова или в другом месте.
Spekyl, Kerio Control… на отдельном компе
4. зайти на сайт со своего телефона админ не смог… авторизация пустая.

подключался через внутренний вай-фай…
avatar

skatino

У меня дома сетка. Проверил с разных компов — автоматически не авторизуется. Значит, авторизация сделана не по IP, а с помощью куков.

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UPDONW