Xpoint
   [напомнить пароль]

Воруют пароли, как с этим бороться?

Метки: [без меток]
2007-10-03 08:08:12 [обр] August[досье]

Доброго времени суток.
Недавно обнаружил неприятную для себя ситуацию. Суть в следующем.
Я предоставляю услуги по созданию чатов на своем сервере. Как администратор своего чата, мои клиенты могут настраивать внешний вид чата, т.е. имеют доступ к HTML-коду.
В одном из чатов я обнаружил, что с помощью снифера админ крадет пароли пользователей. Делается это небольшим java-скриптом, который утягивает строку из поля password, пока пользователь набирает пароль.
Моя политика такова, что админы не имеет доступа к приватным данным своих пользователей, а тут явное воровсто.

Пока я придумал два варианта борьбы с воровством, но оба имеют недостатки:

  1. Перехватывать событие onkeypress и забивать поле пароля пробелами, но скрипт снифера также можно настроить под это событие.
  2. Фильтровать HTML-код на предмет скриптов, но это требует серверных ресурсов, что для меня не очень хорошо, также java-скрипты можно запускать по событиям.

Данная ситуация может возникнуть на любом сайте, где требуется вводить пароль, если админ ресурса преследует какие то свои корыстные цели.

Имеет ли смысл бороться с этим явлением и какие способы более эффективны?

спустя 26 минут [обр] Роман Чемисов(0/327)[досье]
August[досье]
Запретите изменение HTML-кода. Пусть меняют только CSS.
Конечно, возникнут проблемы с если это не только "внешний вид", но и, например, какие-то дополнительные поля.
Что касается фильтрации HTML-кода, то тогда придётся запретить вообще все скрипты иначе отловить зловредный код будет очень-очень сложно.
спустя 53 минуты [обр] Алексей В. Иванов(6/2861)[досье]
Не одному мне кажется, задача фильтрации вообще нереальная. Обсуждается здесь: http://xpoint.ru/forums/programming/javascript/misc/thread/41149.xhtml
спустя 3 минуты [обр] Алексей В. Иванов(6/2861)[досье]
сообщение промодерировано
Варианты решения:
  1. запретить JS
  2. сделать форму логина в iframe с другого домена
  3. сделать форму логина в flash (flash может запрещать доступ к нему из JS)
спустя 7 часов [обр] August[досье]

Спасибо за ответы.
Запретить измение HTML-кода не могу - пострадает функциональность сервиса.
Все усложняется еще тем, что чат состоит из фреймов, и вредный код может быть в любом фрейме.

Алексей В. Иванов[досье]
что значит "запретить JS"? поясните пожалуйста.

спустя 6 часов [обр] Алексей В. Иванов(6/2861)[досье]
Вырезать его из пользовательского кода
Powered by POEM™ Engine Copyright © 2002-2005