From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: <4alt@mail.ru> X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: * X-Spam-Status: No, score=1.8 required=5.0 tests=BAYES_50,DNS_FROM_OPENWHOIS, RDNS_NONE,SPF_SOFTFAIL autolearn=no version=3.2.5 Date: Wed, 27 Oct 2010 19:49:11 +0300 From: Dank Bagryantsev <4alt@mail.ru> X-Priority: 3 (Normal) Message-ID: <303818767.20101027194911@lugaport.net> To: ALT Linux sysadmins' discussion In-Reply-To: <1288192640.16208.194.camel@v3405.naf.net.ru> References: <332809524.20101026191942@lugaport.net> <1288192640.16208.194.camel@v3405.naf.net.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?99fPxCDMz8fJzsEt0MHSz8zRIMTM0SDEz9PU1dDB?= =?koi8-r?b?IMsg08HK1NUgzsXJ2tfF09TO2cgg0M/M2NrP18HUxczA?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: Dank Bagryantsev <4alt@mail.ru>, ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 27 Oct 2010 16:52:00 -0000 Archived-At: List-Archive: Здравствуйте, Nikolay. Вы писали 27 октября 2010 г., 18:17:20: >> ... >> Возможно ли каким-либо способом посылать логины-пароли при входе на >> сайты, но чтобы пользователь не мог их узнать? (или как минимум пароль). NAF> Самое простое: если не хотите, чтобы пользователи вводили пароли - NAF> вводите их сами. NAF> Включите запоминание паролей в браузере - при следующем входе NAF> пользователю не надо будет ничего вводить, и знать пароль ему тоже NAF> не будет нужно. Захочет ли кто из пользователей специально прикладывать NAF> усилия, чтобы вытащить пароль из базы браузера - зависит от квалификации NAF> пользователей и ценности учётных данных. Вытащить пароль из броузера очень легко и программок на эту тему полно. Тем более у меня есть подозрение, что информацию могут красть трояны. Ситуация осложняется тем, что у меня нет физического доступа к ноутбукам пользователей и они находятся в разных странах. И получить удаленный доступ к ноутбукам тоже проблематично. Можно конечно еще подумать о создании какого-то терминал-сервера, а там уже сохранять пароли в броузере. Но как-то мне этот способ кажется трудоемким в реализации и ненадежным в эксплуатации. >> Пока у меня мысли, чтобы установить какую-то промежуточную вещь между >> пользователями и сайтами. .... NAF> Например, nginx. NAF> Перехватить обращение к сайту (или локально изменить DNS, или NAF> перенаправлением на шлюзе), переслать на nginx. Там всё, кроме страницы NAF> авторизации, запрашивать с оригинального сервера, страницу авторизации NAF> перенаправлять на свою заглушку. NAF> Хотя такие действия подпадают под man-in-the-middle, и насколько легко NAF> можно обмануть конкретный сайт - зависит от сайта, от наличия SSL, и NAF> т.п. Идея с nginx заманчивая. Случайно нет примера реализации? Я бы перенаправил пользователей на nginx через OpenVPN&DNS. И с помощью того же OpenVPN контролировал бы доступ пользователей к сайтам. Но да, если сайт доступен только по HTTPS, то этот способ скорее всего не подойдет. -- С уважением, Dank