Блог им. skatino

Внимание! Опасность! Автоматический вход на смарт-лаб!

    • 11 сентября 2013, 10:03
    • |
    • skatino
  • Еще
на работе локальная сеть, настроен прокси сервер, в интернет выходим через общий ip. схема стандартная и наиболее популярная.
зарегестрирован на смарт-лабе и пользуюсь им только я.
но любой сотрудник, с любого компьютера, в любом браузере при открытии смарт-лаба автоматически входит под моей учетной записью!!!
со всеми вытекающими..

как вам такое пришло в голову и зачем вы такое реализовали?
имхо грубая ошибка и дыра в безопасности
    60 комментариев
    +7
    Дыра в безопасности у вас на работе, что вы все можете на смарт-лаб с рабочей сети выходить!:)
    avatar
    Roman Resner
    Gravizapa, у меня на работе особый статус… я сотрудник ит-отдела со всеми вытекающими
    avatar
    skatino
    skatino, Вот это и есть дыра. Особого статуса ни у кого не должно быть. Разве что у вас есть отдел или человек отвечающий за ИБ.
    avatar
    Roman Resner
    «хотели как лучше, получилось как всегда»©
    avatar
    GHJK
    И еще, IP тут вообще не при чем имхо. Думаю дыра у вас на работе :))
    avatar
    Roman Resner
    Gravizapa, давай про дыру у меня на работе подробнее…
    зы я в ит-отделе работаю, правда программист, а не админ. но админ сидит напротив :)
    avatar
    skatino
    skatino, Ну первая дыра и самая очевидная — у вас открыт доступ на всё подряд или с незначительными ограничениями.

    Ну а вторая не столь очевидна, но если сущ. проблема описанная в посте, то вина в этом с 90% ваших админов, а не смартлаба:)
    avatar
    Roman Resner
    +1
    skatino, однозначно у вас на работе дыра.
    Очевидно, что накосячили с местами хранения локальных настроек. Вместо хранения на локальных компах храните где-то в общей куче на серваке, откуда идет выход в инет. Вот при запросе авторизации с любой машины в вашей ЛВС и идет сразу авторизация.
    avatar
    Рустам TradeInWest.ru
    +1
    выход нажимайте
    avatar
    Алексей
    +1
    заметил это давно… когда себе компьютер менял весной этого года. тогда приятно удивился.

    месяц назад заметил такое случайно когда открыл самарт-лаб на другом компьютере.
    сегодня специально попросил открыть сайт и посторонний человек оказался на сайте под моей учетной записью…
    avatar
    skatino
    skatino, а говоришь, что только у тебя особый статус. А получается любой может зайти. :-)
    Очевидная дыра. :))
    avatar
    Рустам TradeInWest.ru
    skatino, у вас на прокси кешируются кукисы? отключите кэширование, может поможет
    avatar
    Мурен(а)
    абсолютно согласен, смотрите организацию локальной сети у себя. У нас тоже в офисе локалка, ничего подобного нет. Сам проверял.
    avatar
    nik
    Виктор~, кроме смарт-лаба все работает нормально :)
    avatar
    skatino
    skatino, ???? пойду еще раз прокачаю, может «новые фичи» от Мартынова где нить задырявили
    avatar
    nik
    Виктор~, ошибка давно я думаю изначально…
    хотели как лучше. сделали автоматическую авторизацию по ip-адресу. наберут студентов по объявлению…
    avatar
    skatino
    skatino, такого точно нет у меня мобильный комп и домашний имеют разные IP-адреса
    avatar
    nik
    Виктор~, что мешает сделать проверку нескольких ip-адресов и подставлять логин и пароль не по одному адресу, а из списка
    avatar
    skatino
    а кто-нибудь в Вашей компании знает про сМарт-лаб? Где я раньше работал — слова типа «фьючерс», «опцион», не говоря про «сМарт-Лаб» никто и не знал…
    avatar
    Александр Шадрин
    Проверенный аккаунт
    Александр Шадрин, никто не знает… мне и учетка на смарт-лабе нужна только для того, что бы «ипанутые» кнопки и банеры не мешали читать текст :)
    avatar
    skatino
    Александр Шадрин, всё меняется))популярность растёт)
    avatar
    Алексей
    +1
    Проверил у себя на работе. Все нормально.
    avatar
    Картышев Иван
    Картышев Иван, конфигурацию сети подскажешь?
    avatar
    skatino
    загони у других сотрудников адрес смартлаба в небезопасные узлы и тогда им система не даст на смартлаб зайти
    avatar
    Сергей Воронцов (sergey-110)
    Сергей Воронцов (sergey-110), у меня нету проблемы с этим… у меня админ под рукой… заибанить можем на любом уровне. но для кого-то это может быть важным
    avatar
    skatino
    +1
    Сергей Воронцов (sergey-110), причем в первую очередь это надо сделать на компах у всех руководителей, вплоть до директоров и хозяина, т.к. у них мозгов и свободного времени побольше (шансов захотеть войти на СмартЛаба в разы выше). Ну а если засекут за этой процедурой то можно и работу потерять. Хотел бы я послушать отмазон какого-нибудь линейного сотрудника, который без моего разрешеия зашел в мой кабинет и что-то там делает за моим компом трясущимися руками, я думаю ему пистец.
    avatar
    WILSON
    Wilson, это не мой вариант…
    avatar
    skatino
    Wilson, я у начальника на компе на смартлаб и захожу

    палево…
    avatar
    Сергей Воронцов (sergey-110)
    Wilson, :-) представил эту картину в красках, как говорится. Очень кровожадно выглядите :-)
    avatar
    Mr_Noname
    0
    передавай админу привет и скажи, что он олень )))
    1. всегда надо нажимать «выход». всегда.
    2. если инет быстрый и траф не принципиален — при выходе из браузера — кеш под ноль. или просто кэш отрубить. этот архаизм придумали для диалапа 56кбит.
    3. опять же если быстрый нет — что мешает зайти на домашний комп удаленно и сидеть за домашним рабочим столом?
    avatar
    Алексей (rwsmart)
    +1
    Алексей (rwsmart), не надо меня учить жить. тем более про ИТ… :)
    avatar
    skatino
    +1
    А кстати. Скорее всего прокси хранит кэш страницы и даёт его любому кто пытается на смарт зайти. Вот вам и авторизация.

    Это как чисто вероятностный пример.
    avatar
    Roman Resner
    +1
    Gravizapa,
    админ: почему такого не наблюдается на остальных ресурсах которые требуют авторизации? скорее всего на смарт-лабе идет авторизация не через куки, а через проверку по ip-адресам. что является грубейшей ошибкой
    avatar
    skatino
    skatino, ну поверь, тогда воплей об этом было СОТНИ И ТЫСЯЧИ.
    avatar
    Рустам TradeInWest.ru
    Gravizapa, +100500
    Самый вероятный вариант.
    avatar
    Рустам TradeInWest.ru
    Я думаю у них не просто интернет расшарен — а через кеширующий прокси.

    Или админ, что напротив сидит, очень до чужой почты любопытный, и какуюто мен-ин-зе-мидл софтину поставил. В любом случае ему не жить.
    avatar
    Spekyl
    Spekyl, админ царь и бог в локальной сети… нам не нужно никакого стороннего софта что бы мониторить за пользователями любого…
    avatar
    skatino
    skatino, Только что проверил:) В сеть залез через прокси с одним IP с разных машин и учеток. Нет никакой авторизации на 2й учетке. Так что капайте дыры у себя:)
    avatar
    Roman Resner
    skatino, только не на ssl протоколе
    avatar
    Spekyl
    Проверил с планшета в своей локалке (все идет через NAT, т.е. тоже общий IP), авторизации на планшете нет, на компьютере есть, скорее всего у Вас прокся что то лишнее кеширует
    avatar
    Сергей Кудрявцев
    Сергей Кудрявцев, тогда вопрос… почему только смарт-лаб кеширует?
    avatar
    skatino
    проверил в двух разных браузерах на одном компьютере, в одном авторизован, в другом нет, все нормально.
    avatar
    Сергей Кудрявцев
    в принципе это сигнал администраторам ресурса…
    если им будет нужна какая-то дополнительная информация от меня постараюсь её предоставить.
    буду только рад если на смарт-лабе все хорошо…
    avatar
    skatino
    Если такое творится — это однозначно дыра и ответственность смарт-лаба, ибо он обязан обеспечивать безопасность.
    avatar
    Hedgehog
    Hedgehog, Ну если уж говорить об этом, то смартлаб вообще никому и ничего не должен.
    avatar
    Roman Resner
    Gravizapa, Глубоко ошибаетесь. Если претендует на место профессионального, цивилизованного и безопасного интернет ресурса, то должен.
    avatar
    Hedgehog
    Если Смарт-лаб мешает работе, Ну её нах… эту работу)))
    avatar
    Acertado
    бугога…
    1.админ нажал выход на своем компе, из под моей учетки. при повторном открытии сайта опять оказался под моей учеткой.
    2.почистили кукисы на прокси… ничего не изменилось.
    avatar
    skatino
    3. отключил полностью кеш на прокси… результат тот же

    кроме того… оказывается админ вообще без прокси ходит в тырнет. а все остальные через прокси.

    единственное что нас объединяет — общий внешний ip-адрес
    avatar
    skatino
    skatino, вас еще один гейт объединяет. И вера в богоподобие админа.

    Роутер-то у вас аппаратный или комп под это дело приспособили?
    avatar
    Spekyl
    Spekyl, админ как админ… давно в теме. опыт большой, квалификация высокая.
    avatar
    skatino
    skatino, помимо кукесов прокся может просто держать свою сессию открытой хз сколько времнени. Какой прокси-то? Как называется?
    avatar
    Spekyl
    Spekyl, вроде проблема пропала… админ говорит что скорее всего был какой-то глюк. глюк именно между нашей прокси и смарт-лабом. так как не наблюдается у других пользователей и не наблюдается у нас на других сайтах.
    проверил у некоторых пользователей… сейчас автоматически не логинятся.
    avatar
    skatino
    skatino, Лучше посмотрите что отрубили по итогу. То и помогло.
    avatar
    Roman Resner
    Gravizapa, моему админу не интересно… на смарт-лаб ему покуй, а на остальной интернет жалоб нет :)
    avatar
    skatino
    skatino, но на заметку себе конечно взяли… если вдруг появится такая проблема снова или в другом месте.
    avatar
    skatino
    Spekyl, Kerio Control… на отдельном компе
    avatar
    skatino
    4. зайти на сайт со своего телефона админ не смог… авторизация пустая.

    подключался через внутренний вай-фай…
    avatar
    skatino
    У меня дома сетка. Проверил с разных компов — автоматически не авторизуется. Значит, авторизация сделана не по IP, а с помощью куков.
    avatar
    Deamoniy Steslavovich

    полезные записи за 24 часа

    ★10 33 Как защитить 100% капитала/депозита при инвестировании: создаем структурную ноту
    ★9 23 как выводят активы из Норильского никеля
    ★8 41 8 миллиардов рублей за 10 лет
    ★5 2 Инвестиции в будущее. Портфель акций роста
    ★4 28 Ситуация на текущий момент
    ★4 6 Бесплатный вебинар "ИИС-3. Новые вычеты"
    ★3 2 Стандартный сервер общения с Telegram через ЛОГ и из Роботов для Os Engine.
    ★3 4 Золото против S&P 500: Что выросло больше за пять лет?
    ★3 25 Структура автопарка легкового авто в РФ.
    ★3 1 Обзор Южуралзолото – хороший отчет и обнадеживающие прогнозы на 2024 год
    +206 28 Ситуация на текущий момент
    +125 54 Индекс МБ сегодня
    +114 41 8 миллиардов рублей за 10 лет
    +106 39 Азия. Четверг.
    +103 1 Рекомендации дивидендов заполонили рынок🔥Акции и инвестиции
    +95 16 Обмен заблокированных активов зарубил Clearstream
    +94 23 как выводят активы из Норильского никеля
    +89 22 Карпов продолжает отжигать
    +77 33 Как защитить 100% капитала/депозита при инвестировании: создаем структурную ноту
    +68 21 "Цель она есть". На дне (S&P500)

    самые обсуждаемые сегодня

    54к Индекс МБ сегодня
    39к Азия. Четверг.
    31к Россия и Украина. Переговоры в Катаре.
    28к Арбитраж Si и не только - просто и доходно
    28к Ситуация на текущий момент
    21к 300 миллиардов
    21к "Цель она есть". На дне (S&P500)
    21к 🦈Любую профессию можно освоить за 1 год - а трейдинг?
    21к Уже и Байден подписал
    15к Немного о жизненном цикле доверительного управления

    теги блога skatino

    ....все тэги



    UPDONW
    Новый дизайн