Venus AUEB Forum

Ενα ενδιαφέρον paper πανω σε Phishing attack, διαπραγματεύονται το μηχανισμό αυθεντικότητας χρήστη και ειναι αρκετά εύκολο να υλοποιηθεί - που σημαίνει οτι με λίγη δουλειά μπορείτε να κάνετε extend το authentication logic του server. Επίσης αρκετά challenging για framework developers.

Alice, what did you do last time?
Fighting Phishing Using Past Activity Tests
In a nutshell,PACTs take advantage of the fact that the user has accessed at least once her
account in the past, contrary to the phisher who accesses the user’s account for
the first time. Thus, a user can answer a question relative to her past activity,
but the attacker can not.

http://www.ics.forth.gr/dcs/Activities/papers/pact.pdf

με αφορμή το Post, έχεις εύκαιρο κάποιο tutorial για να κάνεις secure login σε web sites? τι πρέπει να κάνει ο προγραμματιστής ώστε η διαδικασία login να είναι ασφαλής? μαζεμένα όλα σε ένα howto

rose wrote:Ενα ενδιαφέρον paper πανω σε Phishing attack

δε λέω, καλό, αλλά ίσως not working. Δηλαδή θα του λέω "την προηγούμενη φορά έκανα post" (αν είναι για forum)?

εννοώ ότι οι διάφορες επιλογές είναι πεπερασμένες και *λίγες* (άρα πολύ εύκολο να τις κάνεις spoof). Εσύ τι πιστεύεις?

The Punisher wrote:

rose wrote:Ενα ενδιαφέρον paper πανω σε Phishing attack

δε λέω, καλό, αλλά ίσως not working. Δηλαδή θα του λέω "την προηγούμενη φορά έκανα post" (αν είναι για forum)?
εννοώ ότι οι διάφορες επιλογές είναι πεπερασμένες και *λίγες*

Εμένα μου άρεσε πολύ η ιδέα των "αποτυπωμάτων" στην διαδικασία του login και βρήκα αρκετά ενδιαφέροντα στοιχεία.

Μπορείς να χρησιμοποιήσεις τα πμ - η λίστα θα περιέχει άσχετες και την τελευταία σου επικοινωνία, ίσως και το τελευταίο θέμα που επισκέφτηκες η το τελευταίο click...αλλα και το post ειναι μια περίπτωση - η λίστα θα περιέχει το δικό σου post και άλλα 10 άσχετα, αλλα δεν ειναι και τοσο αποδοτικό αφού κάποιος μπορεί να καταγράψει τα post σου. Οπως καταλαβαίνεις όμως δεν ειναι για forum, αφού τέτοια ανάγκη δεν υπάρχει και οι χρήστες δεν το επιθυμούν . Σε κάθε περίπτωση πιστεύω οτι εχει μεγάλο ενδιαφέρον να κλειδώσεις το security με prev actions. Φυσικά κάθε pattern εξελίσσεται και προσαρμόζεται στις ανάγκες μας. Για παράδειγμα στο τέλος ακόμα και αν ο hacker γνωρίζει τα πάντα ολα, θα πρέπει να κάνει rand(n) φορές login για να του επιτραπεί η είσοδος - που θα αποθαρρύνει τους εισβολείς.

tsilochr wrote:με αφορμή το Post, έχεις εύκαιρο κάποιο tutorial για να κάνεις secure login σε web sites? τι πρέπει να κάνει ο προγραμματιστής ώστε η διαδικασία login να είναι ασφαλής? μαζεμένα όλα σε ένα howto

Οχι, αλλα υπάρχουν ωραία βιβλία στην αγορά και λέω να χτυπήσω τπτ για το ξεστράβωμα -πάμε μαζί; , ισως πάρω και το μάθημα της σχολής.

rose wrote:ισως πάρω και το μάθημα της σχολής.

... το οποίο είναι?

The Punisher wrote:

rose wrote:ισως πάρω και το μάθημα της σχολής.

... το οποίο είναι?

www.cis.aueb.gr