[Sysadmins] Ввод логина-пароля для доступа к сайту неизвестных пользователю
Dank Bagryantsev
4alt на mail.ru
Ср Окт 27 16:49:11 UTC 2010
Здравствуйте, Nikolay.
Вы писали 27 октября 2010 г., 18:17:20:
>> ...
>> Возможно ли каким-либо способом посылать логины-пароли при входе на
>> сайты, но чтобы пользователь не мог их узнать? (или как минимум пароль).
NAF> Самое простое: если не хотите, чтобы пользователи вводили пароли -
NAF> вводите их сами.
NAF> Включите запоминание паролей в браузере - при следующем входе
NAF> пользователю не надо будет ничего вводить, и знать пароль ему тоже
NAF> не будет нужно. Захочет ли кто из пользователей специально прикладывать
NAF> усилия, чтобы вытащить пароль из базы браузера - зависит от квалификации
NAF> пользователей и ценности учётных данных.
Вытащить пароль из броузера очень легко и программок на эту тему
полно. Тем более у меня есть подозрение, что информацию могут красть
трояны.
Ситуация осложняется тем, что у меня нет физического доступа к
ноутбукам пользователей и они находятся в разных странах. И получить
удаленный доступ к ноутбукам тоже проблематично.
Можно конечно еще подумать о создании какого-то терминал-сервера, а
там уже сохранять пароли в броузере. Но как-то мне этот способ кажется
трудоемким в реализации и ненадежным в эксплуатации.
>> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между
>> пользователями и сайтами. ....
NAF> Например, nginx.
NAF> Перехватить обращение к сайту (или локально изменить DNS, или
NAF> перенаправлением на шлюзе), переслать на nginx. Там всё, кроме страницы
NAF> авторизации, запрашивать с оригинального сервера, страницу авторизации
NAF> перенаправлять на свою заглушку.
NAF> Хотя такие действия подпадают под man-in-the-middle, и насколько легко
NAF> можно обмануть конкретный сайт - зависит от сайта, от наличия SSL, и
NAF> т.п.
Идея с nginx заманчивая. Случайно нет примера реализации?
Я бы перенаправил пользователей на nginx через OpenVPN&DNS. И с
помощью того же OpenVPN контролировал бы доступ пользователей к сайтам.
Но да, если сайт доступен только по HTTPS, то этот способ скорее всего
не подойдет.
--
С уважением,
Dank
Подробная информация о списке рассылки Sysadmins