повышение безопасности - пароль на работающую прог

предлагаю увеличить безопасность, путём установки пароля доступа к работающей программе, функция нужная и важная, т.к. все наши потуги могут светсись на нет и привести к убыткам (может быть очень большим) при обычном подборе пароля к rdp

Справа большая красная кнопка: "Предложите идею", напишите туда пожалуйста.

написал, ребята, не стесняйтесь, кто за - проголосуйте

проголосовал.

спасибо, может реально сделают

прямая ссылка для голосования

зы вызывает удивление тот факт что нужно устраивать голосование для продвижения очевидных вещей. лучше перебдеть чем недоглядеть.

спасибо, лишь бы разработчики услышали

сложно не услышать, голосование уже на первом месте с приличным отрывом от преследователей

Подбор пароля для РДП штука скорее фантастическая . Ну конечно если у вас пароль "1111", то да . Я бы скорее боялся других проблем. Вирусов, бэкдоров, троянов. За время жизни не было ни разу подбора, взлома или еще чегото. Один раз открыл в глобал сервер, но не закрыл дырку с встроенной админской учеткой. За день ломанули, повешали рассылку спама и даже какойто вебсервис.
РДП поломали?? Это фантастика. Так же как и взлом SSH.

ну перехватят ваше не зашифрованное подключение с логином и паролем, зайдут на сайт а там ещё пароль к программе, сами ж понимаете, пусть ещё по-трудятся

и я думаю, что не у всех настроено SSH, я до недавних пор даж не знал, что это такое и сколько попыток подбора паролей происходит

а вообще интересен ваш опыт, может как - нибудь черкнёте что-нибудь интересное по администр-ю, будет интересно

Люди способные сломать RDP прогу сломают еще быстрее, это раз.

Когда вы забудете пароль и пойдете в поддержку - что вы там рассчитываете услышать? Или надо еще сделать функцию отсылки забытого пароля куда то??

также любой может НЕ ЗНАТЬ чего-то или забыть и т.д. и т.п.

недавно человек писал, про "риск"
http://forum.tslab.ru/ubb/ubbthreads.php?ubb=showflat&Number=54154&nt=2&page=1

очень интересная история

сделать эту функцию настраиваемой, нужно - пользуйтесь, нет - нет, пароль забыли, сервер убили, новый развернули, проблем не вижу

даже убивать сервер не нужно, переустановили через консоль и заново настроили

История про риск никак не связана с безопасностью как таковой - ошибка была на стороне брокера.

Делать функцию блокировки всерьез - большая работа. Можем сделать "для галочки", что бы вы чувствовали себя спокойнее, но вообще то это не наш метод.

сделайте пожалуйста хотя бы что-нибудь в этом направлении

по чему же фантастическая? включаешь аудит доступа и при наличии номера rdp подлючения свыше 500 при еженедальных перезагрузках в логах видишь отказ в доступе и весь словать атакующего. сисадмины знают как это мониторить но надо учитывать что тотальное большенство с професиональным администрированием ни когда не сталкивались и простое предложение отключить "клиент для сетей майкрософт" для них будет откровением, а самостоятельная настройка брендмауера вообще приведет к потере контроля над удаленным сервером.

не надо забывать насколько дырявый виндовс, я сейчас не говорю о паркинге. трейдер торгующий с локального компа тоже подвержен многим опасностям. начать хотя бы с маленьких детей этого трейдера, которы любят играть на папином\мамином компутере.
в дополнение скажу что набор zero-эксплойтов 1000шт стоит 1000 долоров....

Перехватит кто? Перехватит где?
Вариант 1: злобный хакер спит и видит как поломать ваш сервер ТСЛаба чтобы спереть ваши деньги.
Вероятность приближается к нулю такого хакера. Где он перехватит? По сети? Вероятность равна нулю. Через трояна на вашем компе? Да такое может быть. Но в таком случае он подсадит трояна и на ваш сервер и пароль просниффит и ломанет ваш тслаб. Эффект такой же как и без пароля на тслаб.

Вариант 2: роботы в тырнете подберут ваш пароль по рдп?. Ломануть в лоб невозможно. Только благодаря тому что вы плохой специалист, у вас трояны и вирусы. Не лазим в тырнет с сервера, обновляем винду. ВСЕ. Многие хостеры даже предлагают услуги фаервола. Закрыли все кроме РДП. ВЗлом? НЕ не слышали.


Под винду нет ssh. это линукс. В винде аналог это RDP


Задавайте вопросы .

Меня каждый день долбят эти самые ребята. Постоянно. Круглый день. Несколько лет. Включил просто в винде 7 брандмауэр. Обновляюсь. Взлом меня? Не не слышали. В глобал смотрит РДП. Стандарт конфигурация. ХР - по умолчания одна большая дыра. Обновляться надо долго и упорно.

я сталкивался с взломом при открытом только rdp на нестандартном порту....


в винде аналог telnet.
RDP- изначально выпущен цитриксом. и его аналогом в линуксе является nomashine и прочее.

я чаще работаю на winServer

перепутал с SSL

я шифрование канала имел в виду...

Не будем ломать копья по части того кто и чего придумал. Мы оба правы. А вот по части взлома интересно.
Что было причиной взлома? Конкретно. Подбор пароля? .

1.как обновляете сервер в автоматическом режите или вручную, если вручную, то как определяете какие ставить, а какие нет

2.как боретесь с ребятами, которые пытаются подобрать пароль

3.какие есть интересные ресурсы по теме администрирования winserver 2008

выскажу свое мнение
есть несколько возможных запусков
1 паркинг - там админы и аппаратные брендмауеры
2 размещение на домашнем или офисном компе- здесь паролирование актуально особенно в варианте офисном.
3 vds,vpc или солокейшен - сдесь, на мой взгляд вдвойне актуально т.к. обычно они имеют стаический ip и их долбят тупым перебором по извесным диапазонам пула хостера или провайдера. если, не дай бог, вы залетели к хостеру известному как фостер для форексистов(есть такие) вас будут долбить усиленно на проникновение и хищение файлов или паролей аккаунтов.

А у метатрейдера, любимого валютчиками, кстати, есть блокировка?

нет, хотя может в 5 сделали...

не выяснили, и о взломе то узнали по косвенным параметрам но очень не приятным. есть несколько гипотез в том числе и не добросовестность или взлом провайдера. некоторые атаки можно осуществить находясь только в одной локальной сети...

1) Все верно пишете. Или паркинг или другой хостер подобного функционала.
2) Не рассматриваю. Не влезут в тслаб, перезагрузят по кнопке итд. Не вариант вообще. Либо закрыли на замок либо терпеть.
3) Пусть долбят. Число айпишников у людей ограничено. политика винды настраивается. 3 фейла и в бан надолго. Пароль типо "Blb1d@g;jge#gjlksq4[frth%z^ndjq&nhe,f*ifnfk" подобрать невозможно. набирается очень легко.

нет не сделали, если по гуглить вылезет много статей с рекомендациями форексистам по этому поводу.

ЧТо взломали то собственно?
Взломать можно попробовать если есть доступ к промежуточным узлам сетевого оборудования. Иначе? Нет. атаки сложнее чем брутфорс тупыми ботами никто не будет на вас производить. Шибко дорого. А бот он и есть бот, тупой как пробка.

1) руками. Жму снизу - поставить апдейты. Выбираю нужные. Обычно все ставю.
2) а чего с ними бороться? Ну пусть себе играются. 3 фейла и отлуп. Адреса у них кончаются с которых ходить можно.
3) не знаю я начинал с 2000 щас на уровне метода тыка все.

последние исследования показали что весть интернет можно отсканить за 10 часов

и сам на свои грабли налетишь...



если отдолбили какуюнибуть дырку эксплойтом пароль винды не спасет. тупой перебор легко обнаруживается и легко пресекается.

ну это пустой спор, сделать опционально. кому надо будет пользоваться , кто то решит паролить только песочницу остальные просто не включат. зачем-то нужен был пароль на бекапы?

если интересно - расскажу в личку. в отношении взлома - даже если просто почитать новостной фон становиться ясно что сейчас это целая индустрия. доходит то того что за 2$ продают очень нехилый обьем натыренной информации на вес. чтоб покупатель сам перелопачивал и высеивал от туда..

Все верно. ИНдустрия. Но у меня практика достаточно обширная. Если найдутся братки что ломанут РДП именно вашего сервера, то не спасет вас пароль на ТСЛаб. ПОэтому разговор в общем бесполезный . С точки зрения банальной логики - пароль на тслаб - нафиг не нужен. С точки зрения самообмана - да можно сделать.

безопасности много не бывает

это не самообман, хотя каджый волен считать по своему и использовать или нет тоже. но как дополнительный барьер будет очень к месту, даже если реально сработает у одного из всех. в целом мы можем об этом и не узнать, ведь хороший замок не отчитыватеся скольких он отпугнул просто своим существованием.

речь не идет о хорошем замке
это просто бумажная ленточка на двери
если через rdp прорвались в account с запущенным TSLab - все, приплыли.
другое дело - что в rdp реально опасны тока вещи типа 0-day, а их достаточно давно не было.
brute force - дело практически безнадежное

кстати - если даже что-то и появится для закрытия проги - у 95 % пользователей пароль там будет совпадать с паролем rdp ...
лень человеческая ...

в случае появления такой функции , я бы использовал ту возможную ее часть как доступ паролирование доступа к управлению скриптами.
у меня отерается пачка друзей холявщиков которые тырят интересные идеи и скрипты, за те 5-10 мин которые им удается посидеть за компьютером они ни чего не сломают, но простенький пароль их остановит.
или , еще лучще - пароль к папке в менеджере управления скриптами!
точно! и самое интересное туда спрятать можно и пример не закрытый показать можно. это особенно полезно будет обучателям.
и неважно что "это просто бумажная ленточка на двери", она пригодится.

хммм...
а на этом компе еще случайно не стоят игры ?
а также учетки vkontacte и mail.ru ?

P.S. просто винду залочить при отходе от компа религия не позволяет ?

Как вариант такую функцию сделать можно. Для того чтобы было. Без особых заморочек в плане безопасности. Если это займет не больше кододня разработчика. Потому как есть много больше полезных и важных штук, которые разработчики каждый день делают. И дай бог им здоровья, светлых голов чтобы делали еще больше хороших и полезных штук. Желательно бесплатных .

Но данная функция = программа для дефрагменатции ФС NTFS. Работать будет чисто как эффект плацебо.

нет, я такой гадастью не пользусь

большенство не оценят вашего сарказма. а если нужно кому-то дать поработать на своем компе в программе? поставить гостевую программу? или как решить такой ньюанс? или провожу я к примеру презентацию индивидуально для кого-то, стоять за спиной и хватать за руки?

Не понял, Вы хотите дать кому-то поработать в программе на которую хотите поставить пароль? Это как?

Вообще видится простейшая реализация это когда запрашивается пароль на старте проги. Дальше если ввели пароль, то все, защита снимается на весь сеанс. И то это не один человеко-день, нужно проверить все возможные обходы защиты.
А реализация, когда вы хотите отойти от программы - заблокировать и потом разблокировать и продолжить работу это сразу усложняет алгоритм. Самое сложное здесь учесть все возможные варианты работы программы. Например простейший: злоумышленник просто закрывает залоченную программу таск менеджером и запускает вновь.
Кто-нибудь может привести пример программы которая так блокируется паролем, в качестве примера?

я думаю asd имеет ввиду частный случай или другую реализацию решения когда паролируется только папка.
один из форекс брокеров имеет прогу собственной разработки на яве, постараюсь отъискать.
похожее решение мы видем сейчас на mail.ru при если оставить открытым акаунт и войти в него из другого браузера.

мне тоже видится это как прозрачное\полупрозрачное окно перекрывающее окно программы с уведомлением о необходимости введения пароля

либо просто дезактивация всех кнопок кроме кнопки разблокировать.

Да, это первое что приходит в голову. Но это самое сложное технически. Даже в полупрозрачном окне контролы принимают фокус со всеми вытекающими последствиями. Т.е. это превращается в следующее предложение:


Это я не понимаю пока как можно реализовать. Ну не добавлять же к каждому контролу во всей программе код контроля блокировки. Это полная чушь.
Есть попроще вариант: показывать модальный диалог, который нельзя закрыть пока не введешь пароль, и который блокирует взаимодействие с программой.
Но не стоит забывать, что кроме основного окна программы еще могут быть плавающие окна, которые тоже надо блокировать. А также программа сама может выводить диалоги, например о перезагрузке. Надо отрабатывать перезагрузку программы.
Это все к тому что задача абсолютно непростая даже в минимальном варианте. По существу тут нет минимального варианта. или защита есть или ее нет.
Приделать какую-то затычку, частный случай, это будет как открыть ящик пандоры: посыпятся возмущенные отклики, что это за защита, вот так ее легко обойти, и эдак тоже.
И что, объяснять что мы это не всерьез, только затычку сделали по просьбе, чтобы отвязались?

Тут сложно спорить .

делать на отвяжись не стоит. можно разбить на части. модальный диалог это выход. для примера можно привести блокировку в 1с77 там именно так.
попутно пересмотреть работу плавоющих окон - если вкладку график вынести на отдельный экран а потом нажать сохранить и выполнить почему-то появляется еще одла вкладка график прямо поверх окна визуального редактора , а существующее окно график не обновляется.

возвращаясь к теме могу предложить делать инвизибл все окна кроме специально открытого окна с уведомлением блокировки. ну и чтоб трансляция при этом не прекращалась.

Возможно чепуха, но. Когда у меня открыто несколько программ (любых, например лаба и эксель), в активном окне только одна. И я могу производить изменения, редактирование и пр. только в активном окне (в активной программе). Другая висит фоном. Я вижу что в ней происходит, но не могу что то менять. Если я кликну на рабочий стол, то активен рабочий стол, а обе программы фоном.

Может как раз лочить перевод ТСЛаб в активное окно???
Не знаю осуществимо ли и хорошо ли. Но как вариант.

интересный вариант, смогут ли разработчики это реализовать?

господа, высказывайте ваше виденее возможной реализации. в споре рождается истина.

даж не знаю чего и предложить, нужно смотреть на желание и возможности разработчиков...

помнится, год назад я уже предлагал эту доп. защиту
проехали
снова там же

актуально, очередня попытка убедить в необходимости и маркетинговых преймуществах.