Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Draugiem.lv ievieš autentifikācijas datu šifrēšanu un httponly sesijas cepumus

Kategorija: Datu drošība

“Tas ir ne vien jauns dizains, bet pilnībā no jauna uzbūvēts portāls. Patiesībā redzamās izmaiņas ir mazākas nekā tās, kas acīm slēptas,” atzīmē Zērne.

Līdzīgi kā inbox.lv beidzot arī draugiem.lv ir ieviesuši lietotājvārda un paroles nosūtīšanu, izmantojot šifrētu SSL kanālu.

Tāpat arī sesijas cepumiem ir parādījies “httponly” atribūts, kas starpvietņu skriptošanas gadījumā uzbrucējam apgrūtinās sesijas datu pārtveršanu.

$ curl –head http://www.draugiem.lv/
[..]
Set-Cookie: DS=4c9573e81782a711ed5c149fd1d4389a; path=/; domain=.draugiem.lv; HttpOnly

Jāuzslavē draugiem.lv programmētāji, ka beidzot ir atradušies 15$ GoDaddy SSL sertifikātam un ka ir arī atradies laiks pievienot papildus parametru PHP session_start() funkcijai.

Avoti:
BlackHalt: http://twitter.com/BlackHalt/status/56002525496737792
KasJauns: http://www.kasjauns.lv/lv/zinas/44462/draugiemlv-septinu-gadu-jubileja-prezente-jaunu-portala-versiju

Tagged: »

2011-04-14  »  edgars

  1. heh
    17 April 2011 @ 12:06

    un tagad draugiem.lv ljauj parlukiem atcereties paroli. vai taa nav drosibas problema?

  2. edgars
    17 April 2011 @ 15:23

    Interesanta spekulācija par veco versiju:

    http://twitter.com/arvids/status/40368397669769216
    “Kāpēc draugiem.lv login formas paroles lauka ID ir mainīgs? Jauc prātu 1password utml. auto-login rīkiem.”

    http://twitter.com/agris_krusts/status/40415973995454464
    “@arvids tas ir “poor man’s” SSL, cik var saprast – lai sarežģītu dzīvi tiem, kas LANā noklausās paroles ar vienkāršiem rīkiem”

Re: Draugiem.lv ievieš autentifikācijas datu šifrēšanu un httponly sesijas cepumus







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>