Kuidas selline asi välja peaks nägema ja kas sellist asja üldse ongi võimalik vältida?Jätaks siinkohal välja ekraani ja tooli vahele mahtuva laus ajuvabaduse.Mis pointi on sessiooni üldse kasutada kui md5,sha1,crc32 ja teab mis veel on ikkagi muugitavad väljast loetavad avalikult dokumenteeritud mida kõike.Mul on kopp ees neist valmis "rakendustest" millede viga sulle kasvõi poole aasta pärast selga sõidab ja kõike tehtut jälle otsast alustada käseb.Lihtsalt kogu aur läheb vile peale.Kas oleks pointi kasutada hoopis mingit võtmesüsteemi või kuidas üldse oleks mõistlik nendele koolipoistele eos õppetund anda?

TSITEERITUD:

Kuidas selline asi välja peaks nägema ja kas sellist asja üldse ongi võimalik vältida?Jätaks siinkohal välja ekraani ja tooli vahele mahtuva laus ajuvabaduse.Mis pointi on sessiooni üldse kasutada kui md5,sha1,crc32 ja teab mis veel on ikkagi muugitavad väljast loetavad avalikult dokumenteeritud mida kõike.Mul on kopp ees neist valmis "rakendustest" millede viga sulle kasvõi poole aasta pärast selga sõidab ja kõike tehtut jälle otsast alustada käseb.Lihtsalt kogu aur läheb vile peale.Kas oleks pointi kasutada hoopis mingit võtmesüsteemi või kuidas üldse oleks mõistlik nendele koolipoistele eos õppetund anda?

ära hoia olulisi andmeid sessioonis, kui hoiad olulisi, siis krüptitult ja kasuta https ja vormid ja muud andmed mida kasutaja sulle saadab oleks mõistlik alati signeerida vähemalt ühe sessiooni raames

kui sa mõtled tervet võrguliikluse kaaperdamist, siis tuleb turvalisusega alustada natuke mujalt kui veebiserver

Arusaamatuks jääb, mida sa siin sessiooni all mõtled - kas suvalist veebilehe külastussessiooni või sessioonivõtit.

Üldiselt, kui sul on sensitiivne info, siis tuleb lihtsalt https'i kasutada ja seda keegi pealt ei kuula (vähemasti mitte nii, et teadjam pealtkuulatav sellest aru ei saaks).

Pigem sessioonivõtit.Midagi sellist mis seoks sisselogimisega algavat seanssi.Mitte poole pealt sisse tulevat kaaperdatud andmetega manipuleerimist.Sattusime sõbraga huvitavale juhusele kus swedpank ei lasknud sisse pinkalkulaatori ja õigete paroolidega kuna ta oli jaapanis ise just netipanka kenasti külastanud ja seega ei saanud ta 10 minutit hiljem olla eestis.Loogika on teretulnud.

Mõte oligi igal kontrollimisel anda sessiooni algatajale kaasa vähemalt üks krüpteeritud võti,kui vaja siis mitu mis peavad klappima eelmisega mida kasutati.Kui ei klapi teavitatakse sellest kohe ka kasutajat mis iganes viisi.Loomulikult sinna otsa ka logi.Olgu tunneliks kasvõi https.Kuidas seda nii teha,et isegi kui läheb kaaperdamiseks ei ole sellest ka samas arvutis mingit tolku sest reaalne lehekülg saab aktiivne olla vaid ühes kohas(aknas) korraga kus võtmed võiks klappida.Mida muutumatut võiks kaasata?Kindlasti ei saa omada mitte mingit tähtsust ip.

TSITEERITUD:

Mõte oligi igal kontrollimisel anda sessiooni algatajale kaasa vähemalt üks krüpteeritud võti,kui vaja siis mitu mis peavad klappima eelmisega mida kasutati.Kui ei klapi teavitatakse sellest kohe ka kasutajat mis iganes viisi.Loomulikult sinna otsa ka logi.Olgu tunneliks kasvõi https.Kuidas seda nii teha,et isegi kui läheb kaaperdamiseks ei ole sellest ka samas arvutis mingit tolku sest reaalne lehekülg saab aktiivne olla vaid ühes kohas(aknas) korraga kus võtmed võiks klappida.Mida muutumatut võiks kaasata?Kindlasti ei saa omada mitte mingit tähtsust ip.

----
Vabandan ette kui aeg on selleks liialt varane kuid millegipärast jääb mulje,et igasugune meelestatus,teadmised,senine kompetents,huvi üldse jätavad tõeliselt sügavalt soovida!Kas tõesti kõik on rahul "justkui toimiva" süsteemiga?Please ärgake,ärge puhake tehtul,turgutage nii ennast kui teisi,kõik saab viia vaid edasi...Hauda kaasavõtt on mõistlik?Tõsiselt hea-lihtne avastus lööb nii mõnegi tegelase töökoha kõikuma ja tulemus saab olla vaid vaeva väärt.Siinkohal idee:sobivad võtmeid mahub sobivasse kohta korraga vaid üks...

TSITEERITUD:

----
Vabandan ette kui aeg on selleks liialt varane kuid millegipärast jääb mulje,et igasugune meelestatus,teadmised,senine kompetents,huvi üldse jätavad tõeliselt sügavalt soovida!Kas tõesti kõik on rahul "justkui toimiva" süsteemiga?Please ärgake,ärge puhake tehtul,turgutage nii ennast kui teisi,kõik saab viia vaid edasi...Hauda kaasavõtt on mõistlik?Tõsiselt hea-lihtne avastus lööb nii mõnegi tegelase töökoha kõikuma ja tulemus saab olla vaid vaeva väärt.Siinkohal idee:sobivad võtmeid mahub sobivasse kohta korraga vaid üks...

ära vaevle pseudoprobleemide käes, asi mida sa küsid on turvalisuse ABC valdkonda kuuluv. google aitab sind kõige paremini edasi.

Kui pahalane on juba samas arvutis kus ka igati täieõiguslik klient, ja https ei tundu lahendusena, siis on parem juba omaenese browser koos omaenese turvalise kanaliga ehitada ja ka siis ei saa sa eriti kindel olla (näituseks võtab pahalane kasutaja aplikatsiooni/browseriakna käsutamise üle ja kuvab tollele midagi muud ..)

Absoluutselt kogu liiklust annab samas masinas olles pealt kuulata. Juhul kui https on juba murtud (võtmed pealtkuulatud, kogu tegevus toimub läbi läbipaistva proxy) on kogu see brauseri turvalisus juba olematu.

Tõsi, seda kõike on väga raske läbi viia ja tegelikult peaks kliendi arvuti puhtuse ja turvalisuse eest ka mingi administraator vastutama. Ehk siis panganduslahenduse puhul on hulk peenikest kirja (enamjuhul vastutab kasutaja ise oma arvuti puhtuse eest) + "äririskid" (ehk siis vajadus kaasata õiguskaitseorganeid ja oodata nende taga teinekord, samas on selleks kindlasti ka mingitlaadi kindlustusteenus olemas)

Muidu .. esimene pähetulev idee oleks mittehttp protokolli kasutav turvalist kanalit pakkuv browseri addon, mis esimesel saidileminekul käivituks ja miski kanali valmis teeks (ehk kui tullakse teise/varjatud browseri ja sessionkeyga, siis ehitatakse uus kanal, aga sellel oleks juba teine võti ja scriptkiddie tase ei saaks asjast sotti)

Muidugi võib ka iga tehingu kinnitamisel uut koodi küsida (ühekordselt koodikaardilt/pinkalkulaatorilt) muidugi ka teoreetiliselt murtav kuvades kasutajale midagi muud ja nõudes koodi, aga jällegi paras rocket surgery ja scriptkiddied ei saa hakkama.