Безопасность URL админ части shop-script

3

Здравствуйте,

Хочу предложить идею в плане безопасности, связанную с авторизацией в админ часть shop-script. Так как вход только через пароль и логин не является безопасным. Так как при заражении клиентской машины, через которую осуществляется вход в админ часть любым банковским вирусом, произойдет утечка данных доступа злоумышленнику (банковский вирус - вредоносное программное обеспечение, которое крадет пароли, логины, которые вбиваются через браузер, пароли от ftp и т.д., инжектирование веб-страницы и т.д., примеры таких вирусов: зевоподобные вирусы: Zeus3, Citadel, ice9, kins3 и т.д.).

1 Ступень защиты

Использование самоподписанного сертификата для авторизации в админ часть. Такие сертификаты использует к примеру платежная система WebMoney для входа в WebMoney Light Keeper. Такой сертификат, конечно также не может являться гарантом безопасности, его также может украсть вирус из браузера. Но все же он уже является надеждной защитой против мелких malware, у которых нет функций граббинга сертификатов.

2 Ступень защиты

Использование постоянного IP адреса для входа в админ часть. Конечно вы можете использовать постоянный IP адрес от своего провайдера (если он не динамичный). Но опять же использование IP адреса своего провайдера для входа в админ часть, также может стать небезопасным, так как при случае заражения вирусом, вирус способен открывать специальный порт у вас на машине, и обеспечит для злоумшыленника проксирование и соответственно, если украден сертификат и машина ваша заражена, то злоумышленник будет использовать технологию SOCKS 5 для получения IP адреса вашей машины и дальнейшей авторизации в админ часть Shop-Script.

Соответственно использование IP адреса от своего провайдера не надежно. Но использование IP адреса от OpenVPN сервера - вот это уже апогей не проходимости. Так как OpenVPN также имеет свои сертификаты, которые не хранятся ни в браузере, нигде в программах, а обычно лежат как специальные файлы в папке "~/OpenVPN/config/".

Соответственно можно привязать IP адрес сервера OpenVPN для авторизации в Shop-Script.

И если сервер OpenVPN не будет скомпрометирован, то если даже злоумышленник получит сертификаты, то войти у него все равно не получится.

Соответственно предложение разработчикам Shop-Script:

1) Разработать в админ часть функцию создания самоподписанного сертификата для входа в админ-часть.

2) Предложить клиентам услуги по подключению к OpenVPN (пусть если даже будет платная услуга)

Конечно же здесь описана параноидальная защита, но все же. Хотя бы выполнение какой-то ступени защиты, уже будет оправдано, ибо только пароль + логин = это просто глупо.

С уважением,

Андрей



6 комментариев

  • 0

    Не хотел бы я столкнуться с таким зашифрованным клиентом в работе.

  • 0
    Злой Димон Злой Димон 16 ноября 2016 00:07 #

    если всё так запущено, пользуйтесь виртуальной клавиатурой. А вообще, почитайте литературу по защите информации. Замок дороже телевизора, который хотят укрась - это паранойя. Делайте резервные копии, поставьте антивирус, создайте уникальную ссылку на вход в админку, меняйте пароли хоть каждый час.

    • +1
      svet svet 16 ноября 2016 12:44 #

      А смена паролей хоть каждый час или создание уникальной ссылки никаким образом не поможет, еще раз повторяю, если ваша машина заражена, то троянская программа грабит все что вводится и тем более и урл (из истории, либо с вбива с физической клавиатура). И на счет виртуальной клавиатуры - с виртуальной клавиатуры - граббинг ничем не отличается как и с физической и многие вирусные приложения граббинг с виртуальной клавиатуры поддерживают.

      В данном случае не замок дороже телевизора, создание того же самоподписного сертификата уже усилит защиту. Поэтому я бы сказал, это супер дешевый замок.

      А теперь на счет телевизора, несколько лет назад был уже скандал, не известно на каком, правда движке работали шопы в России, но пострадало достаточное количество шопов РУ, после взлома, вся информация о покупателях была слита в паблик.

      Как бы телевизор пусть и дешевый (ну что там: адреса, имена и телефоны, и emails,)но репутация шопа, который допустим работал и приносил норм профит упадет ниже плинтуса.

      Я написал свои соображения даже не исходя из паранойи, а исходя из практического опыта и знаний, который имею в данном направлении.

      Ибо мне написали вы "Почитайте литература по безопасности", а для чего мне читать ее, если я работаю по безопасности информции с 2008 года. И нахожусь в ведении как работают многие вирусные приложения, эксплойт паки, скам-страницы, скрипты и т.д. по краже конфед. информации.

      Конечно шутки шутками про телевизор и замок, но напишу так: Исследую зараженные машины, а далее сервера с ботнетами, которые были арестованы - там было сграбленной информации не только банк аккаунтов, кредитных карт и т.д. но и конечно доступы в админ части всевозможных интернет-магазинов.

      Отсюда просто вывод: что многие веб-приложения просто отказываются принять свой полную незащищенность и поэтому штампуют входы только по логину и паролю.

      Да тот же WordPress имеет плагин ALL-pack-firewall (примерно такое название), которое помимо создание уникальной ссылки, хотя бы умеет блокировать IP адрес, который ввел несколько раз неправильно пароль и логин, то есть умение работать с брутфорсом, а ваш продукт, конечно споров нет, что хорош в плане ведения бизнеса в интернете, но в плане безопасности оставляет желать лучшего.

      С уважением,

      Андрей


    • +1

      А зачем заморачиваться с самоподписными сертификатами и OpenVPN
      если есть двухфакторная аутентификация и Google Authenticator https://play.google.com/store/apps/details?id=com....?
      Или есть Яндекс.Ключ https://play.google.com/store/apps/details?id=ru.y...
      Мне кажется делать двухфакторную и прикрутить ОТП и проще и перспективнее.

      • +1
        svet svet 16 ноября 2016 19:18 #

        Согласен. OTP будет лучшим решением. Не вспомнил ) об этом.

        И если будет решением от WebAsyst сделать такое дополнение, тогда будет уже лучше, чем сейчас.

      • +2
        va.mirlekarstv va.mirlekarstv 6 марта 2018 02:34 #

        и как реализовать двухфакторную авторизацию как в админку, так и для покупателей зареганых?

        Добавить комментарий

        Чтобы добавить комментарий, зарегистрируйтесь или войдите