Блог им. skatino

Внимание! Опасность! Автоматический вход на смарт-лаб!

    • 11 сентября 2013, 10:03
    • |
    • skatino
  • Еще
на работе локальная сеть, настроен прокси сервер, в интернет выходим через общий ip. схема стандартная и наиболее популярная.
зарегестрирован на смарт-лабе и пользуюсь им только я.
но любой сотрудник, с любого компьютера, в любом браузере при открытии смарт-лаба автоматически входит под моей учетной записью!!!
со всеми вытекающими..

как вам такое пришло в голову и зачем вы такое реализовали?
имхо грубая ошибка и дыра в безопасности
    60 комментариев
    Дыра в безопасности у вас на работе, что вы все можете на смарт-лаб с рабочей сети выходить!:)
    avatar
    Gravizapa, у меня на работе особый статус… я сотрудник ит-отдела со всеми вытекающими
    avatar
    skatino, Вот это и есть дыра. Особого статуса ни у кого не должно быть. Разве что у вас есть отдел или человек отвечающий за ИБ.
    avatar
    «хотели как лучше, получилось как всегда»©
    avatar
    И еще, IP тут вообще не при чем имхо. Думаю дыра у вас на работе :))
    avatar
    Gravizapa, давай про дыру у меня на работе подробнее…
    зы я в ит-отделе работаю, правда программист, а не админ. но админ сидит напротив :)
    avatar
    skatino, Ну первая дыра и самая очевидная — у вас открыт доступ на всё подряд или с незначительными ограничениями.

    Ну а вторая не столь очевидна, но если сущ. проблема описанная в посте, то вина в этом с 90% ваших админов, а не смартлаба:)
    avatar
    skatino, однозначно у вас на работе дыра.
    Очевидно, что накосячили с местами хранения локальных настроек. Вместо хранения на локальных компах храните где-то в общей куче на серваке, откуда идет выход в инет. Вот при запросе авторизации с любой машины в вашей ЛВС и идет сразу авторизация.
    avatar
    выход нажимайте
    avatar
    заметил это давно… когда себе компьютер менял весной этого года. тогда приятно удивился.

    месяц назад заметил такое случайно когда открыл самарт-лаб на другом компьютере.
    сегодня специально попросил открыть сайт и посторонний человек оказался на сайте под моей учетной записью…
    avatar
    skatino, а говоришь, что только у тебя особый статус. А получается любой может зайти. :-)
    Очевидная дыра. :))
    avatar
    skatino, у вас на прокси кешируются кукисы? отключите кэширование, может поможет
    avatar
    абсолютно согласен, смотрите организацию локальной сети у себя. У нас тоже в офисе локалка, ничего подобного нет. Сам проверял.
    avatar
    Виктор~, кроме смарт-лаба все работает нормально :)
    avatar
    skatino, ???? пойду еще раз прокачаю, может «новые фичи» от Мартынова где нить задырявили
    avatar
    Виктор~, ошибка давно я думаю изначально…
    хотели как лучше. сделали автоматическую авторизацию по ip-адресу. наберут студентов по объявлению…
    avatar
    skatino, такого точно нет у меня мобильный комп и домашний имеют разные IP-адреса
    avatar
    Виктор~, что мешает сделать проверку нескольких ip-адресов и подставлять логин и пароль не по одному адресу, а из списка
    avatar
    а кто-нибудь в Вашей компании знает про сМарт-лаб? Где я раньше работал — слова типа «фьючерс», «опцион», не говоря про «сМарт-Лаб» никто и не знал…
    Александр Шадрин, никто не знает… мне и учетка на смарт-лабе нужна только для того, что бы «ипанутые» кнопки и банеры не мешали читать текст :)
    avatar
    Александр Шадрин, всё меняется))популярность растёт)
    avatar
    Проверил у себя на работе. Все нормально.
    avatar
    Картышев Иван, конфигурацию сети подскажешь?
    avatar
    загони у других сотрудников адрес смартлаба в небезопасные узлы и тогда им система не даст на смартлаб зайти
    Сергей Воронцов (sergey-110), у меня нету проблемы с этим… у меня админ под рукой… заибанить можем на любом уровне. но для кого-то это может быть важным
    avatar
    Сергей Воронцов (sergey-110), причем в первую очередь это надо сделать на компах у всех руководителей, вплоть до директоров и хозяина, т.к. у них мозгов и свободного времени побольше (шансов захотеть войти на СмартЛаба в разы выше). Ну а если засекут за этой процедурой то можно и работу потерять. Хотел бы я послушать отмазон какого-нибудь линейного сотрудника, который без моего разрешеия зашел в мой кабинет и что-то там делает за моим компом трясущимися руками, я думаю ему пистец.
    avatar
    Wilson, это не мой вариант…
    avatar
    Wilson, я у начальника на компе на смартлаб и захожу

    палево…
    Wilson, :-) представил эту картину в красках, как говорится. Очень кровожадно выглядите :-)
    avatar
    передавай админу привет и скажи, что он олень )))
    1. всегда надо нажимать «выход». всегда.
    2. если инет быстрый и траф не принципиален — при выходе из браузера — кеш под ноль. или просто кэш отрубить. этот архаизм придумали для диалапа 56кбит.
    3. опять же если быстрый нет — что мешает зайти на домашний комп удаленно и сидеть за домашним рабочим столом?
    avatar
    Алексей (rwsmart), не надо меня учить жить. тем более про ИТ… :)
    avatar
    А кстати. Скорее всего прокси хранит кэш страницы и даёт его любому кто пытается на смарт зайти. Вот вам и авторизация.

    Это как чисто вероятностный пример.
    avatar
    Gravizapa,
    админ: почему такого не наблюдается на остальных ресурсах которые требуют авторизации? скорее всего на смарт-лабе идет авторизация не через куки, а через проверку по ip-адресам. что является грубейшей ошибкой
    avatar
    skatino, ну поверь, тогда воплей об этом было СОТНИ И ТЫСЯЧИ.
    avatar
    Gravizapa, +100500
    Самый вероятный вариант.
    avatar
    Я думаю у них не просто интернет расшарен — а через кеширующий прокси.

    Или админ, что напротив сидит, очень до чужой почты любопытный, и какуюто мен-ин-зе-мидл софтину поставил. В любом случае ему не жить.
    avatar
    Spekyl, админ царь и бог в локальной сети… нам не нужно никакого стороннего софта что бы мониторить за пользователями любого…
    avatar
    skatino, Только что проверил:) В сеть залез через прокси с одним IP с разных машин и учеток. Нет никакой авторизации на 2й учетке. Так что капайте дыры у себя:)
    avatar
    skatino, только не на ssl протоколе
    avatar
    Проверил с планшета в своей локалке (все идет через NAT, т.е. тоже общий IP), авторизации на планшете нет, на компьютере есть, скорее всего у Вас прокся что то лишнее кеширует
    Сергей Кудрявцев, тогда вопрос… почему только смарт-лаб кеширует?
    avatar
    проверил в двух разных браузерах на одном компьютере, в одном авторизован, в другом нет, все нормально.
    в принципе это сигнал администраторам ресурса…
    если им будет нужна какая-то дополнительная информация от меня постараюсь её предоставить.
    буду только рад если на смарт-лабе все хорошо…
    avatar
    Если такое творится — это однозначно дыра и ответственность смарт-лаба, ибо он обязан обеспечивать безопасность.
    avatar
    Hedgehog, Ну если уж говорить об этом, то смартлаб вообще никому и ничего не должен.
    avatar
    Gravizapa, Глубоко ошибаетесь. Если претендует на место профессионального, цивилизованного и безопасного интернет ресурса, то должен.
    avatar
    Если Смарт-лаб мешает работе, Ну её нах… эту работу)))
    avatar
    бугога…
    1.админ нажал выход на своем компе, из под моей учетки. при повторном открытии сайта опять оказался под моей учеткой.
    2.почистили кукисы на прокси… ничего не изменилось.
    avatar
    3. отключил полностью кеш на прокси… результат тот же

    кроме того… оказывается админ вообще без прокси ходит в тырнет. а все остальные через прокси.

    единственное что нас объединяет — общий внешний ip-адрес
    avatar
    skatino, вас еще один гейт объединяет. И вера в богоподобие админа.

    Роутер-то у вас аппаратный или комп под это дело приспособили?
    avatar
    Spekyl, админ как админ… давно в теме. опыт большой, квалификация высокая.
    avatar
    skatino, помимо кукесов прокся может просто держать свою сессию открытой хз сколько времнени. Какой прокси-то? Как называется?
    avatar
    Spekyl, вроде проблема пропала… админ говорит что скорее всего был какой-то глюк. глюк именно между нашей прокси и смарт-лабом. так как не наблюдается у других пользователей и не наблюдается у нас на других сайтах.
    проверил у некоторых пользователей… сейчас автоматически не логинятся.
    avatar
    skatino, Лучше посмотрите что отрубили по итогу. То и помогло.
    avatar
    Gravizapa, моему админу не интересно… на смарт-лаб ему покуй, а на остальной интернет жалоб нет :)
    avatar
    skatino, но на заметку себе конечно взяли… если вдруг появится такая проблема снова или в другом месте.
    avatar
    Spekyl, Kerio Control… на отдельном компе
    avatar
    4. зайти на сайт со своего телефона админ не смог… авторизация пустая.

    подключался через внутренний вай-фай…
    avatar
    У меня дома сетка. Проверил с разных компов — автоматически не авторизуется. Значит, авторизация сделана не по IP, а с помощью куков.
    avatar

    теги блога skatino

    ....все тэги



    UPDONW
    Новый дизайн