В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ? / Firebird, InterBase

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Firebird, InterBase [игнор отключен] [закрыт для гостей] / В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

81 сообщений из 81, показаны все 4 страниц

все

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833682

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

hi all

Сразу говорю: никакой баги нет.
Но в трейсе может оказаться в открытом виде пароль юзера, если этот "Семён Семёныч" банально путает местами ключи и значения :-)

Код: plaintext

1.
2.
3.

C:\1INSTALL\FIREBIRD\FB25SNAP>isql localhost/3253:t0  -user masterke  -pas sysdba
Statement failed, SQLSTATE = 28000
Your user name and password are not defined. Ask your database administrator to set up a Firebird login.
Use CONNECT or CREATE DATABASE to specify a database

Трейс:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

2014-12-15T01:55:37.7340 (528:0203C9B8) TRACE_INIT
        SESSION_34


2014-12-15T01:55:37.7340 (528:0203C9B8) UNAUTHORIZED ATTACH_DATABASE
        t0 (ATT_0,  masterke , NONE, TCPv4:127.0.0.1)
        C:\1INSTALL\FIREBIRD\FB25SNAP\bin\isql.exe:1656

2014-12-15T01:55:37.7340 (528:0203C9B8) ERROR AT jrd8_attach_database
        t0 (ATT_0,  masterke , NONE, TCPv4:127.0.0.1)
        C:\1INSTALL\FIREBIRD\FB25SNAP\bin\isql.exe:1656
335544472 : Your user name and password are not defined. Ask your database administrator to set up a Firebird login.

2014-12-15T01:55:37.7340 (528:0203C9B8) TRACE_FINI
        SESSION_34

ИМХО, для 'ATT_0' лучше не указывать ничего в том месте, где выводится юзер (или выводить туда что-то типа '????').
Ибо пока что идёт процесс авторизации.
Для ДБАя же при разборе полётов достаточно будет просто видеть IP'шник.

...

Рейтинг:

0 / 0

15.12.2014, 02:00

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833689

DarkMaster

Участник

Откуда: Donetsk,Ukraine

Сообщения: 6 681

Рейтинг: 0 / 0

Таблоид,

Ну достаточно это вряд ли - есть вероятность прихода с одного ип нескольких клиентов с разными именами/паролями. Ну и вывод в трейс данных с паролем не критично - он и так на сервере.

...

Рейтинг:

0 / 0

15.12.2014, 02:36

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833690

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

Таблоид,

Трейс все-таки выдает не пароль, а имя пользователя, которому не удается подключиться; не надо страшать народ :)

А то, что будет достаточно одного только ІР - неправда. Получается, ты предлагаешь писать что-то типа "Пользователю не удалось подключиться к базе, но какому именно пользователю - этого я вам не скажу ибо я вредный и у меня велосипеда нет"?

...

Рейтинг:

0 / 0

15.12.2014, 02:44

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833691

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Админу незачем знать пароли на юзеров. Меньше знает - крепче спит.

...

Рейтинг:

0 / 0

15.12.2014, 02:47

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833694

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

miwaonlineТрейс все-таки выдает не пароль, а имя пользователяЕсли юзер вместо логина ввёл свой пароль, а вместо пароля своё имя - да, он раздолбай.
Но он вводил его на своей рабочей станции, закрыв руками клавиатуру и нервно оглядываясь. И поэтому он вправе полагать, что пароль нигде не засветится :-)
miwaonlineА то, что будет достаточно одного только ІР - неправдаПочему ? Не понимаю, что даст админу имя юзера в логе, когда этот юзер не смог пройти авторизацию и, возможно, вообще какой-то хрен с горы. Как раз ip'шник тут и есть самое главное.

...

Рейтинг:

0 / 0

15.12.2014, 02:53

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833696

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

ТаблоидАдмину незачем знать пароли на юзеров.Ничего, что админ может любому юзеру назначить пароль ?

...

Рейтинг:

0 / 0

15.12.2014, 03:01

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833788

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

Таблоид,

хорош паранойю разводить

...

Рейтинг:

0 / 0

15.12.2014, 09:25

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833834

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

ТаблоидmiwaonlineТрейс все-таки выдает не пароль, а имя пользователяЕсли юзер вместо логина ввёл свой пароль, а вместо пароля своё имя - да, он раздолбай.
Но он вводил его на своей рабочей станции, закрыв руками клавиатуру и нервно оглядываясь. И поэтому он вправе полагать, что пароль нигде не засветится :-)

А он нигде и не светится, светится логин, который ниразу не секретный. Если юзер себе придумает логин VASYADURAK, то будет странно, если бы после этого юзер обижался, что ФБ обзывается, правда?
ТаблоидmiwaonlineА то, что будет достаточно одного только ІР - неправдаПочему ? Не понимаю, что даст админу имя юзера в логе, когда этот юзер не смог пройти авторизацию и, возможно, вообще какой-то хрен с горы. Как раз ip'шник тут и есть самое главное.
А что делать, когда с одного ІР есть коннекты многих юзеров? А что делать в случае NAT? А как насчет варианта, когда на предприятии любой пользователь может подключиться со своим логином с любого компьютера (много менеджеров и общих компов в большом торговом зале; много рабочих и общих компов в цеху)?

...

Рейтинг:

0 / 0

15.12.2014, 10:18

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833835

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Да, что-то я перестраховался. Ночь была безлунная, почудилось что-то... не смейтесь!

...

Рейтинг:

0 / 0

15.12.2014, 10:18

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833909

Ivan_Pisarevsky

Участник

Откуда: НН

Сообщения: 9 563

Рейтинг: 0 / 0

hvladТаблоидАдмину незачем знать пароли на юзеров.Ничего, что админ может любому юзеру назначить пароль ?Назначить и что-то сделать втихаря под юзерским логином 2 большие разницы.
Симонов Денисхорош паранойю разводитьпаранойю админа лечить не надо, это профнавык.

...

Рейтинг:

0 / 0

15.12.2014, 11:13

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833954

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

Ivan_PisarevskyhvladНичего, что админ может любому юзеру назначить пароль ?Назначить и что-то сделать втихаря под юзерским логином 2 большие разницы.Что сказать-то хотел ? :)

Что админ не в состоянии сменить пароль юзеру, "что-то сделать втихаря под юзерским логином", а потом сказать юзеру что надо поменять пароль (ибо "политика безопасности" требует) ?
И что юзер сможет доказать, что это не он сам вывел половину активов наружу ?
Или доказать, что пароль ему сменили до того, как с баланса вывели половину активов, а не после ?
Без прикладной поддержки (например ЭЦП для любых важных действий) юзер беззащитен перед админом, и это аксиома

...

Рейтинг:

0 / 0

15.12.2014, 11:57

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833958

Гаджимурадов Рустам

Участник

Сообщения: 64 024

Рейтинг: 0 / 0

Ivan_Pisarevsky> паранойю админа лечить не надо, это профнавык.

Паранойя паранойе рознь. Навскидку, в данном случае
паранойя от самого себя, поскольку рядовые пользователи
сабжевый вывод не увидят. Следовательно, паранойю от
самого себя таки нужно подлечить.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 11:59

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833977

Ivan_Pisarevsky

Участник

Откуда: НН

Сообщения: 9 563

Рейтинг: 0 / 0

hvladЧто сказать-то хотел ? :)Сказать ровно то, что сказал, между назначить и подсмотреть есть существенная разница. Против ФБ ничего, т.к. ФБ не хранит пароли юзеров и соответственно ему их негде взять, чтоб светить оными направо-налево.
hvladа потом сказать юзеруэто уже следы.
hvladИ что юзер сможет доказатьсбор доказательств это уже следующий шаг.

...

Рейтинг:

0 / 0

15.12.2014, 12:05

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833986

Ivan_Pisarevsky

Участник

Откуда: НН

Сообщения: 9 563

Рейтинг: 0 / 0

Гаджимурадов Рустамрядовые пользователи сабжевый вывод не увидят.Как только что-то светится/хранится/передается в открытом виде оно имеет все шансы достаться "кому надо".

...

Рейтинг:

0 / 0

15.12.2014, 12:08

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833988

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

Ivan_PisarevskyСказать ровно то, что сказал, между назначить и подсмотреть есть существенная разница.Я не вижу связи с контекстом предыдущей беседы. Тем более, что подсматривать нечего (как ты и сказал)

Ivan_PisarevskyПротив ФБ ничегоЯ этого и не утверждал. Или таки паранойя ? :)

Резюмирую - моя твой не понимай, моя на твоя не наезжала :)

...

Рейтинг:

0 / 0

15.12.2014, 12:08

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38833996

Ivan_Pisarevsky

Участник

Откуда: НН

Сообщения: 9 563

Рейтинг: 0 / 0

hvladЯ не вижу связи с контекстом предыдущей беседы.Мой посыл был тем, кто сказал выше "а пох, нехай светится".

...

Рейтинг:

0 / 0

15.12.2014, 12:12

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834002

Гаджимурадов Рустам

Участник

Сообщения: 64 024

Рейтинг: 0 / 0

Ivan_Pisarevsky> Как только что-то светится/хранится/передается
Ivan_Pisarevsky> в открытом виде оно имеет все шансы достаться "кому надо".

Стало быть, надо поразмыслить, кому и как оно может
засветиться/передаться. Потому, повторюсь, навскидку -
пока только мозгам и глазам админа, а не посторонним.

Можно поспекулировать на тему снифферов трафика,
но они итак все пакеты увидят, включая исходные.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 12:16

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834006

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

Гаджимурадов Рустам,

не в трёшке. Там трафик шифруется, если пользоваться SRP плагином авторизации

...

Рейтинг:

0 / 0

15.12.2014, 12:22

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834043

Гаджимурадов Рустам

Участник

Сообщения: 64 024

Рейтинг: 0 / 0

Симонов Денис> в трёшке ... если

"В трёшке", "если"... Ну ты понял. :)
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 13:06

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834053

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

Гаджимурадов Рустам,

ну без SRP имеет смысл соединяться только старыми клиентами (< 3.0), или если используется Trusted Auth, где пароль тоже не передаётся. Всё зависит от админа.

...

Рейтинг:

0 / 0

15.12.2014, 13:17

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834077

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Симонов Денисне в трёшке. Там трафик шифруется, если пользоваться SRP плагином авторизации0xFF.

Да задолбится админ какой-нибудь конторы с 300-400 юзерами подключаться к машинам и менять там клиента, чтобы бы он по SRP подключался. В бол-ве случаев просто поменяют конфиг на серваке, чтобы можно было 2.5м коннектиться.

...

Рейтинг:

0 / 0

15.12.2014, 13:36

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834088

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

ТаблоидДа задолбится админ какой-нибудь конторы с 300-400 юзерами подключаться к машинам и менять там клиентаОтмазка.
Не катит.
Обновление клиента не должно ничем отличаться от обновления прикладного софта.
Так что - см.выше.

...

Рейтинг:

0 / 0

15.12.2014, 13:42

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834118

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

"Я завёл пользователя masterkey и теперь везде светится пароль SYSDBA. Спасите-помогите!!!"

В морг.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 14:05

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834137

Гаджимурадов Рустам

Участник

Сообщения: 64 024

Рейтинг: 0 / 0

Таблоид> Да задолбится админ

Глупости. Во-первых, не задолбается, если очень надо.
Во-вторых, обновляться это всё хозяйство должно не
вручную, а [полу]автоматически. Если не может - ну
так см. п.№1 - вперёд и с песней.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 14:23

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834138

Гаджимурадов Рустам

Участник

Сообщения: 64 024

Рейтинг: 0 / 0

Симонов Денис> ну без SRP имеет смысл только

Радуют меня такие категоричные заявления. :)
Впрочем, не буду спорить, останемся при своих.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 14:24

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834144

o_v_a

Участник

Откуда: Тула

Сообщения: 1 166

Рейтинг: 0 / 0

hvladТаблоидДа задолбится админ какой-нибудь конторы с 300-400 юзерами подключаться к машинам и менять там клиентаОтмазка.
Не катит.
Обновление клиента не должно ничем отличаться от обновления прикладного софта.

OFF: Угу. Как представлю 200+ наших систем с децентрализованным администрированием (штук по 1-20 на одного админа, в разных организациях и в 25 регионах РФ)...
Уж несколько лет продолжаю получать письма о помощи при апгрейде систем с переводом базы с 1.5 на 2.5 :)
При всём при том, что все эти системы общаются и с нашим сервером, и между собой тоже, и наш сервер общается с ними в свою очередь несколько раз в сутки (передача ПДн, будь она не ладна).
И свой сервер я в первую очередь перетащу на 3.0.
Догадайтесь, как я настрою свой конфиг, чтоб всё работало в во все стороны в этой "мегазвезде", где в общем случае межсерверные взаимодействия построены по принципу "все со всеми"...

P.S. Конвертация security2.fdb будет при переходе на 3.0? Мне что-то не улыбается 200+ юзерских учёток вводить ручками...

...

Рейтинг:

0 / 0

15.12.2014, 14:28

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834158

Gallemar

Участник

Откуда: г.Новосибирск

Сообщения: 5 629

Рейтинг: 0 / 0

ТаблоидДля ДБАя же при разборе полётов достаточно будет просто видеть IP'шник.
Жжешь. Как быть тем у кого фермы RDP? У меня 300 коннектов с одним IP, ищи-свищи

...

Рейтинг:

0 / 0

15.12.2014, 14:40

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834189

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

а я таки повторю вопрос.
Ну, вот сидит админ, и видит в трейсе, что какой-то там "мегабосс" не может залогиниться:

Код: plaintext

1.
2.

2014-12-15T01:55:37.7340 (528:0203C9B8) UNAUTHORIZED ATTACH_DATABASE
        t0 (ATT_0,  MEGABOSS , NONE, TCPv4:192.168.43.95)
        C:\Program Files\SomeGreatSoft.exe:1656

Где док-во, что это именно "мегабосс" лезет, а не тот, кто себя за него выдаёт, но просто копипастит в пароль имя юзера ?
По правде сказать, я так и не понял, зачем светить имя юзера на этапе, когда он еще не зарегистрирован в базе. Что это даёт ?

...

Рейтинг:

0 / 0

15.12.2014, 15:08

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834201

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

ТаблоидЧто это даёт ?
Информацию о том кого пытаются брутфорсить. И почему ты решил, что туда скопипастили имено
пароль, а не какую-нибудь фигню из аськи?..
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 15:14

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834202

pastor

Участник

Откуда: Калуга

Сообщения: 1 274

Рейтинг: 0 / 0

Таблоида я таки повторю вопрос.
Ну, вот сидит админ, и видит в трейсе, что какой-то там "мегабосс" не может залогиниться:

Код: plaintext

1.
2.

2014-12-15T01:55:37.7340 (528:0203C9B8) UNAUTHORIZED ATTACH_DATABASE
        t0 (ATT_0,  MEGABOSS , NONE, TCPv4:192.168.43.95)
        C:\Program Files\SomeGreatSoft.exe:1656

...

Рейтинг:

0 / 0

15.12.2014, 15:14

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834209

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

Таблоид,

хотя бы то что он пытался логиниться. Это важно. Может какой-то чудик пытается подобрать пароль мегабосса и атаку устроить. Вот тут то его админ и схватит

...

Рейтинг:

0 / 0

15.12.2014, 15:18

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834218

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Dimitry SibiryakovТаблоидЧто это даёт ?Информацию о том кого пытаются брутфорсить. И почему ты решил, что туда скопипастили имено
пароль, а не какую-нибудь фигню из аськи?..Вот именно, что если туда скопипастят "фигню из аськи", то эта инфа будет просто спамом.
Ну, и зачем вообще светить логин или любую бредятину, которую туда (в '-user') пихают, при попытке регистрации ?

ЗЫ. Когда-то давно читал книгу Дж. Раскина, основателя MAC-интерфейса. Книга так и называется: "Интерфейс". И он там вдвинул интересную мысль: логины - не нужны! Если система будет принимать только уникальные пароли, то авторизация достаточна только по ним. Потому что когда мы подходим к запертой двери со своим ключём, то мы не называем свой логин, а просто суём ключ и открываем дверь.
Просто, как 5 коп. И главное - правильно :-)

...

Рейтинг:

0 / 0

15.12.2014, 15:23

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834221

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Симонов Денисхотя бы то что он пытался логиниться. Это важно. Может какой-то чудик пытается подобрать пароль мегабосса и атаку устроить. Вот тут то его админ и схватит Если этот чудик ломится из Бирюлёва, а админ-додик сидит в Мытищах, то даже чухаться не будет. Пока доедет по МКАДу, будет поздно :-)

...

Рейтинг:

0 / 0

15.12.2014, 15:25

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834226

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

pastorа если бензобак взорвется?А по существу есть что сказать ?

...

Рейтинг:

0 / 0

15.12.2014, 15:27

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834228

pastor

Участник

Откуда: Калуга

Сообщения: 1 274

Рейтинг: 0 / 0

Таблоидpastorа если бензобак взорвется?А по существу есть что сказать ?

а по существу спросить?

почему в любой другой параметр нельзя вбить пароль? в строку подключения?
на бумажке записать?

иди в отпуск уже.

...

Рейтинг:

0 / 0

15.12.2014, 15:30

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834231

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

ТаблоидЕсли этот чудик ломится из Бирюлёва, а админ-додик сидит в Мытищах, то даже чухаться не будет. Пока доедет по МКАДу, будет поздно :-)

Вариантов кучу:
1. Временно отключить юзера (это в трёшке через INACTIVE)
2. Отобрать права
3. Как минимум зафиксировать что пытались поломать с таким логином, чтобы принять меры в будущем

...

Рейтинг:

0 / 0

15.12.2014, 15:33

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834249

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

pastorТаблоидпропущено...А по существу есть что сказать ?а по существу спросить?я спросил, читай топег уже :-)
pastorпочему в любой другой параметр нельзя вбить пароль? в строку подключения?
на бумажке записать?Не путай сознательное разглашение пароля (запись на бумажке) и то, что трейс может "вдруг" сам его выдать.
И пролей свет, плз: в какой еще "любой другой " параметр ты вобьешь пароль, чтобы он засветился в трейсе ? Строка подключения с паролём вообще не появится нигде, кроме как на самом же клиенте:

Код: plaintext

1.
2.
3.
4.

C:\MIX\firebird\fb25>isql masterke/3253:t0
Statement failed, SQLSTATE = 08006
Unable to complete network request to host "masterke".
-Failed to locate host machine.
Use CONNECT or CREATE DATABASE to specify a database

...

Рейтинг:

0 / 0

15.12.2014, 15:45

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834253

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

ТаблоидНу, и зачем вообще светить логин или любую бредятину, которую туда (в
'-user') пихают, при попытке регистрации ?
Вот ты админ, приходит к тебе пользователь и жалуется "меня программа не пускает". У тебя
на руках лог неудачных попыток логина, но без имени и пароля. Что ты ему ответишь? А если
бы в логе были и имя и пароль, ты мог бы ткнуть ему носом: ""дебил" пишется через "е",
идиот!.."
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 15:48

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834254

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

Таблоид,

в роль

...

Рейтинг:

0 / 0

15.12.2014, 15:48

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834264

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

o_v_aP.S. Конвертация security2.fdb будет при переходе на 3.0? Мне что-то не улыбается 200+ юзерских учёток вводить ручками...Скопируй их из старой security БД в новую - да хоть тем же EXEC STMT ON EXTERNAL.

o_v_aКак представлю 200+ наших систем с децентрализованным администрированиемТы как свой софт обновляешь на этих 200+ системах ?

o_v_aПри всём при том, что все эти системы общаются и с нашим серверомНу так научи их файл скопировать с сервера....

...

Рейтинг:

0 / 0

15.12.2014, 15:55

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834269

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

ТаблоидНе путай сознательное разглашение пароля (запись на бумажке) и то, что трейс может "вдруг" сам его выдать.Это уже не смешно.
Павел ! Никогда, слышишь - НИКОГДА и близко не подходи к вопросам безопасности - я тебя очень прошу.

...

Рейтинг:

0 / 0

15.12.2014, 15:57

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834275

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

hvlad,

хэши паролей в security3.fdb и security2.fdb одинаковы?

...

Рейтинг:

0 / 0

15.12.2014, 16:01

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834278

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Dimitry SibiryakovТаблоидНу, и зачем вообще светить логин или любую бредятину, которую туда (в
'-user') пихают, при попытке регистрации ?Вот ты админ, приходит к тебе пользователь и жалуется "меня программа не пускает". У тебя
на руках лог неудачных попыток логина, но без имени и пароля. Что ты ему ответишь? А если
бы в логе были и имя и пароль, ты мог бы ткнуть ему носом: ""дебил" пишется через "е",
идиот!.."Админ вообще не должен общаться с юзером по поводу утерянного пароля. Этот юзер мог быть уволен только что, получил трудовую книжку, и отдел кадров ему заблокировал вход в систему. Откудова админ может знать об этом, да и вообще - с какого перепугу он должен выполнять просьбу "хрен знает кого" восстановить пароль ?
Создавать юзера он должен только на основании письма из ОК или личного распоряжения своего непосредственного начальства. Дальше - просто сообщил юзеру на его мыло логин + пароль, и "прости-прощай".
Поэтому я и говорю: инфа в трейсе о том, что якобы "мегабосс" или "хрен-с-горы" не смог зарегистрироваться - пустая, а может - и просто деза.

...

Рейтинг:

0 / 0

15.12.2014, 16:04

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834280

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

hvladТаблоидНе путай сознательное разглашение пароля (запись на бумажке) и то, что трейс может "вдруг" сам его выдать.Это уже не смешно.
Павел ! Никогда, слышишь - НИКОГДА и близко не подходи к вопросам безопасности - я тебя очень прошу.Дык я к ним и не подхожу... они сами как-то лезут... в трейсе... :-)

...

Рейтинг:

0 / 0

15.12.2014, 16:06

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834282

Гаджимурадов Рустам

Участник

Сообщения: 64 024

Рейтинг: 0 / 0

ТаблоидАдмин вообще не должен общаться с юзером по поводу утерянного пароля. Этот юзер мог быть уволен только что, получил трудовую книжку, и отдел кадров ему заблокировал вход в систему. Откудова админ может знать об этом, да и вообще - с какого перепугу он должен выполнять просьбу "хрен знает кого" восстановить пароль ?
Создавать юзера он должен только на основании письма из ОК или личного распоряжения своего непосредственного начальства. Дальше - просто сообщил юзеру на его мыло логин + пароль, и "прости-прощай".

OMG... Игорь, у тебя где-то был смайлик рука-лицо, давай его сюда.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

15.12.2014, 16:08

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834309

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

блин! что не так опять ? :-)

...

Рейтинг:

0 / 0

15.12.2014, 16:22

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834332

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

Симонов Денисhvlad,

хэши паролей в security3.fdb и security2.fdb одинаковы?Для Legacy_auth - да, насколько я понимаю.
Можешь явно уточнить у Алекса.

...

Рейтинг:

0 / 0

15.12.2014, 16:35

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834337

o_v_a

Участник

Откуда: Тула

Сообщения: 1 166

Рейтинг: 0 / 0

hvlado_v_aP.S. Конвертация security2.fdb будет при переходе на 3.0? Мне что-то не улыбается 200+ юзерских учёток вводить ручками...Скопируй их из старой security БД в новую - да хоть тем же EXEC STMT ON EXTERNAL.
Ага, попробуем.

hvlado_v_aКак представлю 200+ наших систем с децентрализованным администрированиемТы как свой софт обновляешь на этих 200+ системах ?
Админы занимаются - каждый на своих объектах. Я сам только тем, кто не техподдержке и без админов работает (небольшие объекты на 1-5 АРМ - некрупные автовокзалы - типа частных извозчиков и ИП).

hvlado_v_aПри всём при том, что все эти системы общаются и с нашим серверомНу так научи их файл скопировать с сервера....[/quot]
Да там целый архив ПО из 70+ программ :) И все админы знают, где и что :)
Есть "полуавтомат" на генерацию разностного скрипта плюс ручная замена программ из архива.
Автоматическую обновлялку делал, но большинством голосов админы высказались за ненужность подобной полной автоматизации бэкапа.
Ибо всем лень ходить к серверам - удалённо апгрейд делают. И если какой АРМ не выключился - прога не обновляется (с виндовой шары запущена), всё едино руками ковыряться. :)
C переходом на 3.0 включу в дистрибутив клиента 3.0 и конфиг, чтоб могли к серверам ниже 3.0 подключаться.
Ну, я уже тут копал на тему кросс-версионного коннекта, с этим вопросов нет.

...

Рейтинг:

0 / 0

15.12.2014, 16:36

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834348

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

Таблоидблин! что не так опять ? :-)Тема "не так".
Помнишь плакаты советских фильмов на тему бдительности? Вот и с паролем так же: за пароль отвечает пользователь.
А уж на стикере, пришпиленном к монитору он его записал или вместо логина вбил - это не проблема админа.

...

Рейтинг:

0 / 0

15.12.2014, 16:43

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834364

hvlad

Участник

Сообщения: 13 125

Рейтинг: 0 / 0

ТаблоидhvladПавел ! Никогда, слышишь - НИКОГДА и близко не подходи к вопросам безопасности - я тебя очень прошу.Дык я к ним и не подхожу... они сами как-то лезут... в трейсе... :-)Закрой глаза, уши, нос - и БЕГИ оттуда !!!

...

Рейтинг:

0 / 0

15.12.2014, 16:56

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834382

Симонов Денис

Участник

Откуда: Рязань

Сообщения: 11 624

Рейтинг: 0 / 0

o_v_a,

там геморр будет когда у тебя часть клиентов новым клиентом по SRP подрубаться будут, часть старым по Legacy_Auth, а часть через Win_Sspi. К бете 2 Алекс ещё грозиться сделать поддержку работы сразу нескольких менеджеров пользователей.

...

Рейтинг:

0 / 0

15.12.2014, 17:05

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834658

Gallemar

Участник

Откуда: г.Новосибирск

Сообщения: 5 629

Рейтинг: 0 / 0

Гаджимурадов Рустам[
OMG... Игорь, у тебя где-то был смайлик рука-лицо, давай его сюда.

...

Рейтинг:

0 / 0

16.12.2014, 06:49

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38834659

Gallemar

Участник

Откуда: г.Новосибирск

Сообщения: 5 629

Рейтинг: 0 / 0

Паша,без обид,но тут ты явно палку перегибаешь.

...

Рейтинг:

0 / 0

16.12.2014, 06:53

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38835058

Мимопроходящий

Участник

Откуда: бурятский тундрюк, эсквайр

Сообщения: 33 443

Рейтинг: 0 / 0

Hello, Gallemar!
You wrote on 16 декабря 2014 г. 14:03:16:

Gallemar> Паша,без обид,но тут ты явно палку
перегибаешь. сломал.
пополам.

Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

16.12.2014, 14:04

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38835674

o_v_a

Участник

Откуда: Тула

Сообщения: 1 166

Рейтинг: 0 / 0

Симонов Денис,

Симонов Денисo_v_a,

там геморр будет когда у тебя часть клиентов новым клиентом по SRP подрубаться будут, часть старым по Legacy_Auth, а часть через Win_Sspi. К бете 2 Алекс ещё грозиться сделать поддержку работы сразу нескольких менеджеров пользователей.
Так нового клиента им превентивно придётся сразу на Legacy_Auth настраивать. Я уж игрался с этими комбинациями и hvlad подсказывал (дай Бог ему здоровья).

...

Рейтинг:

0 / 0

17.12.2014, 08:54

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836248

Arioch

Участник

Сообщения: 11 207

Рейтинг: 0 / 0

ТаблоидЗЫ. Когда-то давно читал книгу Дж. Раскина, основателя MAC-интерфейса. Книга так и называется: "Интерфейс". И он там вдвинул интересную мысль: логины - не нужны! Если система будет принимать только уникальные пароли, то авторизация достаточна только по ним. Потому что когда мы подходим к запертой двери со своим ключём, то мы не называем свой логин, а просто суём ключ и открываем дверь.
Просто, как 5 коп. И главное - правильно :-)

Так и есть, юзер подходит к комьпютеру, втыкаем в него USB Token (или даже флэшку), программа с него считывает все данны (например пару логин и пароль) и все прозрачно работает.

Или не надо сравнивать физический объект, который пользователи не изменяют (сломать ключ можно, но это другое), и пароли, текстовые пароли, которые люди меняют когда хотят, и которые могут совпасть.

...

Рейтинг:

0 / 0

17.12.2014, 17:52

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836261

pastor

Участник

Откуда: Калуга

Сообщения: 1 274

Рейтинг: 0 / 0

Arioch
Так и есть, юзер подходит к комьпютеру, втыкаем в него USB Token (или даже флэшку), программа с него считывает все данны (например пару логин и пароль) и все прозрачно работает.

Зачем втыкать? Есть смарткарты, NFC.

С поддержкой в винде/домене/-> Trusted Auth

...

Рейтинг:

0 / 0

17.12.2014, 18:00

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836431

Любезный

Участник

Сообщения: 691

Рейтинг: 0 / 0

авторЕсли система будет принимать только уникальные пароли, то авторизация достаточна только по ним.
Ага... И получим то, что как-то раньше было в одном форумном движке при регистрации юзера: Вы не можете использовать этот пароль, так как такой пароль уже используется пользователем ххх :)

...

Рейтинг:

0 / 0

17.12.2014, 20:46

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836513

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

ЛюбезныйавторЕсли система будет принимать только уникальные пароли, то авторизация достаточна только по ним.
Ага... И получим то, что как-то раньше было в одном форумном движке при регистрации юзера: Вы не можете использовать этот пароль, так как такой пароль уже используется пользователем ххх :)И чо ? перетопчится и поменяет пароль на нормальный, а не на свой ДР.
Никто же не возбухает, когда получает сообщение "Пользователь с таким логином / именем уже существует"

...

Рейтинг:

0 / 0

17.12.2014, 23:45

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836517

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

ТаблоидИ чо ? перетопчится и...
....будет пользоваться чужим акком как своим. Подумаешь, мелочь какая...
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

18.12.2014, 00:05

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836519

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Для инет-форумов, где все кому не лень сами себя прописывают - да, тут видимое другим имя нужно, и оно долдно быть уникальным.
Для интранета, где прописку делает ДБАй или некоторое действие, запускаемое кадровиком, имя db-юзера всё равно д.б. уникальным. А раз так, то взять из вспомогат. полей в secx.fdb дополнительные сведения (ФИО етц) можно как по уникальному user_name, так и по уникальному паролю (если бы уникальность его требовалась СУБДой). И было бы так: запустил прогу, ввел только пароль - и всё, увидел своё ФИО.

...

Рейтинг:

0 / 0

18.12.2014, 00:21

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836520

NikolayV81

Участник

Откуда: Москва

Сообщения: 547

Рейтинг: 0 / 0

ТаблоидЛюбезныйпропущено...

Ага... И получим то, что как-то раньше было в одном форумном движке при регистрации юзера: Вы не можете использовать этот пароль, так как такой пароль уже используется пользователем ххх :)И чо ? перетопчится и поменяет пароль на нормальный, а не на свой ДР.
Никто же не возбухает, когда получает сообщение "Пользователь с таким логином / именем уже существует"

:) Про то что стоит вотпуск или не стоит касаться безопасности совсем в точку :)

...

Рейтинг:

0 / 0

18.12.2014, 00:24

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836525

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

NikolayV81совсем в точку :)Да хоть в запятую, мне пофигу.
Ни одного аргумента в ответ на вопрос: чем полезно сообщение в трейсе, что некто, называющий себя 'megaboss' (а на само деле - хз кто), не может залогиниться, - я так и не увидел.

...

Рейтинг:

0 / 0

18.12.2014, 00:31

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836544

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

Таблоидчем полезно сообщение в трейсе
Оно даёт информацию о том что именно происходит. Без этой информации сообщение в трейсе
вообще годится аккурат так потереть о волосы и его можно заменить на "кто-то не пролез".

Ты же был на конференции, доклад Романа о многофакторной аутентификации вообще не слышал
что ли?..
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

18.12.2014, 01:43

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836560

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

ТаблоидИ было бы так: запустил прогу, ввел только пароль - и всё, увидел своё ФИО.Убери пароли, вводи только логин и достигнешь желаемого

...

Рейтинг:

0 / 0

18.12.2014, 05:02

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836567

NickDee

Участник

Сообщения: 1 395

Рейтинг: 0 / 0

Basil A. SidorovТаблоидИ было бы так: запустил прогу, ввел только пароль - и всё, увидел своё ФИО.Убери пароли, вводи только логин и достигнешь желаемого
Тогда нужно для каждого пользователя guid создавать, чтобы идентифицировать пользователя.

...

Рейтинг:

0 / 0

18.12.2014, 05:39

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836576

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

NickDeeТогда нужно для каждого пользователя guid создавать, чтобы идентифицировать пользователя.Об уникальности речь шла и уникальность - есть, о сложности речи не было, но её можно обеспечить.

...

Рейтинг:

0 / 0

18.12.2014, 06:27

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836622

NickDee

Участник

Сообщения: 1 395

Рейтинг: 0 / 0

Basil A. SidorovNickDeeТогда нужно для каждого пользователя guid создавать, чтобы идентифицировать пользователя.Об уникальности речь шла и уникальность - есть, о сложности речи не было, но её можно обеспечить.
Уникальность есть, но нужно ведь ещё и как-то идентифицировать пользователя после того как он сменит свой уникальный логинопароль на другой.

...

Рейтинг:

0 / 0

18.12.2014, 08:53

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836627

roadster

Участник

Сообщения: 53 414

Рейтинг: 0 / 0

Таблоид,

1. увидев пароль нечто в трейсе на месте имени пользователя нельзя однозначно сделать вывод, что это пароль, а если это и пароль, то пользователь неизвестен, при количестве пользователей даже в сотню устанешь узнавать чей это пароль (а окажется человек заснул на клавиатуре)
2. идентификация только по паролю вызывает необходимость иметь уникальные пароли, если дать новому пользователю право вводить пароль, то при получении сообщения о наличии такого пароля в системе можешь считать, что пользователь систему сломает от имени другого человека, здесь вариант остаётся один - отдать заведение паролей на откуп админу, но тогда админ будет знать пароли всех пользователей. рассматривать автоматическое формирование паролей и выдачу пользователю на основе гуидов и прочей фигни, как рабочий вариант, тоже не стоит, потому что сложный пароль никто не запомнит, а значит запишет на бумажку
3. наличие данные о имени пользователя при неудачных попытках коннекта позволит сказать примерно следующее: "Вы коннектились столько-то раз в такое-то время, коннект неудачный по причине неправильного пароля, после 3 раза логин заблокирован, велкам ту безопасник писать объяснительную, без его команды логин не разлочу, сосите бананы"

...

Рейтинг:

0 / 0

18.12.2014, 09:04

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836641

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

roadster,
нельзя однозначно сделать вывод, что это пароль"Однозначно" - нет, но догадаться совсем не сложно:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

2014-12-15T01:55:37.7340 (528:0203C9B8) UNAUTHORIZED ATTACH_DATABASE
        t0 (ATT_0,  23081985 , NONE, TCPv4:127.0.0.1)
        C:\1INSTALL\FIREBIRD\FB25SNAP\bin\isql.exe:1656
...
2014-12-15T01:58:19.1250 (528:0203C9B8) UNAUTHORIZED ATTACH_DATABASE
        t0 (ATT_0,  e3bY7uRt , NONE, TCPv4:127.0.0.1)
        C:\1INSTALL\FIREBIRD\FB25SNAP\bin\isql.exe:1656
...
2014-12-15T02:18:22.5140 (528:0203C9B8) UNAUTHORIZED ATTACH_DATABASE
        t0 (ATT_0,  <fkfib[f , NONE, TCPv4:127.0.0.1) // сразу смотрим, что там в ru-раскладке. А там: "Балашиха" :-)
        C:\1INSTALL\FIREBIRD\FB25SNAP\bin\isql.exe:1656

сложный пароль никто не запомнит, а значит запишет на бумажкуЗапомнить 10-значный сгенерённый пароль, наверное, сложно. Но 5-6 знаков запомнит и завхоз. А если будет лепить на монитор - проблема индейца. Впрочем, и сейчас лепят, даже то, что сами себе придумывают.

позволит сказать примерно следующее: " Вы коннектились столько-то раз в такое-то время, коннект неудачный по причине неправильного пароляВот тут стоп! Не "Вы" (тот, с кем я сейчас разговариваю по телефону), а с "машины с таким-то ip-адресом"! И кто там был на самом деле - не известно, но самое главное - пофигу.

...

Рейтинг:

0 / 0

18.12.2014, 09:22

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836700

NickDee

Участник

Сообщения: 1 395

Рейтинг: 0 / 0

Решение: в трэйс выводить имя пользователя только если такой пользователь реально существует.

...

Рейтинг:

0 / 0

18.12.2014, 10:11

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836724

pastor

Участник

Откуда: Калуга

Сообщения: 1 274

Рейтинг: 0 / 0

NickDeeРешение: в трэйс выводить имя пользователя только если такой пользователь реально существует.

вот зачем ломать НУЖНУЮ РАБОТАЮЩУЮ функциональность, чтобы отсечь пяток идиотов?

ну введет пользователь вместо "c" "с" - в начале. и как я это раскручу?
или удалю пользователя по горячке или еще придумаю миллион ВМЕНЯЕМЫХ способов приложения лога?

узбагойте уже Таблоида. :)

...

Рейтинг:

0 / 0

18.12.2014, 10:21

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836752

miwaonline

Участник

Сообщения: 2 274

Рейтинг: 0 / 0

pastorузбагойте уже Таблоида. :)

Предлагаю ему налить. Павел, ты какие напитки предпочитаешь? ;)

...

Рейтинг:

0 / 0

18.12.2014, 10:55

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836939

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

Dimitry Sibiryakovдоклад Романа о многофакторной аутентификации вообще не слышал что ли?..Эту часть его доклада я не слышал, т.к. пришёл туда позже.
Но вот из этих тезисов (особенно из третьего):автор Multi-factor authentication
* It allows user to provide several factors to be
authenticated: OS context, password, certificate, etc.
* Access to database is defined by login policy. It says
what factors user must provide for authentication.
* While authentication all authentication factors are
transferred in encoded form.
* After authentication both client and server have
session key for exchanging private messages, for
example new password when user wants to change it.- я так понял, что никакая инфа в открытом виде у них не передается. Ни пароль, ни даже логин.

...

Рейтинг:

0 / 0

18.12.2014, 13:14

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38836943

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

miwaonlineПредлагаю ему налить. Павел, ты какие напитки предпочитаешь? ;)Красное полусухое, ну или полусладкое. Но только крымское и только летом.
Так что вам еще долго меня терпеть

...

Рейтинг:

0 / 0

18.12.2014, 13:17

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38837063

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

NickDeeУникальность есть, но нужно ведь ещё и как-то идентифицировать пользователя после того как он сменит свой уникальный логинопароль на другой.С этим - к Таблоиду. Он высосал проблему из пальца и раздул её до масштабов вселенской катастрофы.

...

Рейтинг:

0 / 0

18.12.2014, 14:27

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38837177

Arioch

Участник

Сообщения: 11 207

Рейтинг: 0 / 0

Таблоид,

"Если нет - я всё приму:..."

...

Рейтинг:

0 / 0

18.12.2014, 15:10

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38837728

roadster

Участник

Сообщения: 53 414

Рейтинг: 0 / 0

Таблоид"Однозначно" - нет, но догадаться совсем не сложно:ну и кому же принадлежат эти пароли?
ТаблоидНо 5-6 знаков запомнит и завхоз.это для многих организаций слишком простой пароль.
Таблоида с "машины с таким-то ip-адресом"!не совсем так, скорее "кто-то с использованием Вашего логина с машины с таким-то IP адресом", но если приведённые логи реальные, то IP ничего не даст в данном конкретном случае, как и в случаях описанных выше, вроде натов и тех же терминальников.

Тут ведь какое дело, логин и пароль - это просто авторизация, по ним в принципе нельзя определить кто именно пытается войти в систему. Для определения кто именно есть та же ЭЦП, которую на критически важных операциях запрашивать таки стоит.

Да и что касается вывода паролей в описанном тобой случае, то здесь уже говорили, что доступ к логу имеет админ, тот же админ может сменить пароль и сделать всё что хочется от имени любого пользователя. Теперь реально посмотрим на систему хранения паролей в FB (про тройку не знаю, говорю про 2.5), так вот админ может сохранить хэш из секурити.фдб, поменять пароль, нагадить и вернуть хэш. В общем случае с различными поправками и дополнениями любой админ на любой СУБД может нагадить как угодно и скрыть следы своего участия, так что утверждение "Получил доступ к серверу физически - ты царь и бог" - это аксиома и пока обойти её не удастся.

...

Рейтинг:

0 / 0

19.12.2014, 08:01

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38837825

Таблоид

Участник

Сообщения: 9 702

Рейтинг: 0 / 0

roadsterТаблоид"Однозначно" - нет, но догадаться совсем не сложно:ну и кому же принадлежат эти пароли?С большой вероятностью - тому, кто в след. раз прочухается, введёт наконец-то в поле логина именно логин (а не пароль) и успешно зарегистрируется в базе. Если, конечно, это не "машина общего пользования" в торговом зале.

roadsterДа и что касается вывода паролей в описанном тобой случае, то здесь уже говорили, что доступ к логу имеет админ, тот же админ может сменить пароль и сделать всё что хочется от имени любого пользователя.Это всё так, ес-сно.
Как и то, что лог трейса или аудита может быть сохранен хотя и на сервере, но в том каталоге (или в файле с соотв. расширением), который подпадает под еженощный револьверный бекап. И останется в этом бекапе на 30 суток, скажем. И уже вовсе не на сервере, на то он и бекап.

Ладно, раз тараканы только в моей голове, то оставим это.

...

Рейтинг:

0 / 0

19.12.2014, 10:04

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38838090

roadster

Участник

Сообщения: 53 414

Рейтинг: 0 / 0

Таблоид,

хм...
ну в принципе рассуждения здравые.
но тогда я файл бэкапа директории как минимум запаролил бы.

...

Рейтинг:

0 / 0

19.12.2014, 13:46

| Ответить | Цитировать | Написать

В подключении перепутаны имя юзера и его пароль. Трейс выдаёт ошибку... и ПАРОЛЬ. Зачем ?

#38838718

NikolayV81

Участник

Откуда: Москва

Сообщения: 547

Рейтинг: 0 / 0

ТаблоидДа и что касается вывода паролей в описанном тобой случае, то здесь уже говорили, что доступ к логу имеет админ, тот же админ может сменить пароль и сделать всё что хочется от имени любого пользователя.Это всё так, ес-сно.
Как и то, что лог трейса или аудита может быть сохранен хотя и на сервере, но в том каталоге (или в файле с соотв. расширением), который подпадает под еженощный револьверный бекап. И останется в этом бекапе на 30 суток, скажем. И уже вовсе не на сервере, на то он и бекап.

Ладно, раз тараканы только в моей голове, то оставим это.[/quot]
Увы вопросы безопасности они всегда комплексные, иногда проще давать человеку пароль 123 а в инструкции прописать место смены, с фразой - "если под вашим паролем будут изменения то значит их вносили вы"
Точно так же с админом, если ему не доверяют, то должен быть кто-то выше, кто отгородит его от ценной информации и будет за это отвечать.

...

Рейтинг:

0 / 0

20.12.2014, 15:56

| Ответить | Цитировать | Написать

81 сообщений из 81, показаны все 4 страниц

все

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?all=1&fid=40&tid=1563128]:	0ms
get settings:	11ms
get forum list:	15ms
check forum access:	3ms
check topic access:	3ms
track hit:	168ms
get topic data:	8ms
get forum data:	2ms
get page messages:	62ms
get tp. blocked users:	1ms
others:	232ms

total:	505ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы