KRASGMU.RU
 Авторизация - ВХОД
Управление научной и инновационной деятельностью - Идеи
НИРСНИРС - ПрактикаИнновационные проектыУчебные проектыПубликацииГрантыПатентыСотрудникам УИДНОЦМИПИдеи
Список
Генераторы идейИдеи
ВСЕ
Марков М.В.Польников А.М.Ильин М.М.Артюхова Т.Ю.Прахин Е.И.Лиханов К.С.Васильева М.Р.
Информационная безопасность
Здравствуйте! К сожалению, если создатели и администраторы портала КрасГМУ и знакомы с информационной безопасностью, они совершенно не в курсе последних её веяний. Например: - Отсутствие SSL-сертификата делает возможной перехват и чтение конфиденциальных данных, включающих логин, пароль, личную информацию, а также переписку пользователей портала. Причём для этого достаточно одного пользователя в локальной сети, подключённого с использованием т. н. «сниффера», например, WireShark. - Использование т. н. «белых списков» символов для пароля (причём все возможные символы злоумышленник может найти прямо у вас на сайте, вот они: 1234567890-_,.;[]@abcdefghijklmnopqrstuvwxyz) значительно ограничивает его надёжность, которая определяется исключительно количеством символов, и равна количеству возможных символов в степени длины пароля, что, учитывая редкость некоторых символов и краткость стандартного пароля, обычно равно 10 000 000 – 100 000 000 вариантам. Согласитесь, если добавить хотя бы латиницу в верхнем регистре и кириллицу в обоих, сложность взлома увеличится в тысячи раз при той же длине. А лучше вообще убрать все требования к паролю, кроме слишком маленькой длины и похожести на логин. - Я не знаю, какой вы используете алгоритм хеширования паролей и используете ли вообще, но для md5 и sha первого поколения (sha1) уже были найдены коллизии, а поскольку большинство сайтов использовали именно их, я почти уверен, что пароли пользователей могут быть под угрозой. - Выдача логинов и паролей на бумажке старосте также ничего хорошего не сулит, особенно учитывая полную их амеметичность (неспособность запомнить). К тому же, при утере бумажки необходимо восстанавливать их, что никому не нравится: ни студентам, ни ИТ-сектору. И так далее. Честно говоря, я не надеюсь, что мои замечания примут к сведению, но если когда-нибудь на это обратят внимание, я хочу иметь моральное право сказать: «Я им ещё в 2017-ом об этом писал». А если вы всё-таки надумаете что-то с этим сделать, то вы можете обратиться ко мне, и я совершенно бесплатно окажу посильную помощь в ликвидации проблем. Мне понадобится только ваш код, используемые СУБД и их настройки, а также запас пиццы и кофе на неделю. Искренне ваш, Михаил Марков
 Видна Всем, включая гостей
Полезные ссылки
Управление инновационной деятельностиАспирантура и докторантураСтуденческое научное общество