2014 dxdy logo

Научный форум dxdy

Математика, Физика, Computer Science, Machine Learning, LaTeX, Механика и Техника, Химия,
Биология и Медицина, Экономика и Финансовая Математика, Гуманитарные науки




 
 защита файла от несканкционированного доступа
Сообщение16.11.2013, 19:01 
Было реализовано следующее задание: пользователь вводит логин и пароль, проверяется совпадение введённых данных с данными в текстовом документе. Таким образом если злоумышленник получит доступ к текстовому файлу то он сможет изменить пароль на известный лишь ему. Вопрос в том, какими способами можно обезопасить программу чтобы это предотвратить? Уже есть ответы:
хэшированием, криптованием различными методами
нужны ещё хорошие способы

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 19:15 
Аватара пользователя
Надо переименовать файл с паролем. Вместо "password" назвать его "Virus!!! ne_smotrite, opasno ^-^".

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 19:42 
ну когда мне захочется посмеяться я зайду на другой форум

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 19:57 
Аватара пользователя
Tatyana_math в сообщении #789346 писал(а):
хэшированием
По-хорошему, не спасает от квалифицированного злоумышленника при такой постановке задачи. Имея доступ к программе проверки и файлу с хэшами, злоумышленник сможет посмотреть свой вычисленный хэш дебаггером и заменить его в документе.
Нужно шифровать сам документ, так, чтобы он расшифровывался только при известном пароле.

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 20:42 
Tatyana_math в сообщении #789346 писал(а):
Было реализовано следующее задание: пользователь вводит логин и пароль


Куда вводит? Очевидно есть некая прорамма, которая запрашивает логин и пароль?

Цитата:
проверяется совпадение введённых данных с данными в текстовом документе. Таким образом если злоумышленник получит доступ к текстовому файлу то он сможет изменить пароль на известный лишь ему.

Затем вы получите доступ к текстовому файлу, узнаете пароль, известный лишь злоумышленнику, и сможете заменить его на известный лишь вам. И так далее.
Кто или что мешает зашифровать текстовый документ? Тогда злоумышленник сможет его испортить, но не сможет изменить.

Цитата:
нужны ещё хорошие способы

Текстовый файл на флешку, флешку в сейф, сейф в другой сейф, и обязательно выставить круглосуточную охрану. По-моему, неплохо.

А если серьёзно, существуют другие варианты, кроме шифрования? Попробуйте в начало текстового документа вставить: "смотреть чужие документы нехорошо".

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 21:45 
Это учебное задание, просто поиграться или задача для реального применения?
Например, в системе программ 1С:Предприятие 7.7 список пользователей с паролями хранится в одном файле users.usr , файл зашифрован. Но никто не мешает удалить этот файл или заменить его своим, чтобы зайти в базу. Если только не принять меры по ограничению прав доступа пользователей к файлам на уровне операционной системы, тогда пользователь может запустить приложение и работать в нем со своими правами, но не может скопировать базу или повредить ее. И это реально применяют на практике повсеместно.

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 22:55 
_Ivana в сообщении #789427 писал(а):
Например, в системе программ 1С:Предприятие 7.7 список пользователей с паролями хранится в одном файле users.usr , файл зашифрован. Но никто не мешает удалить этот файл или заменить его своим, чтобы зайти в базу.

Удалить можно. А чтобы заменить его своим, нужно знать, как и чем он был зашифрован - чтобы свой так же зашифровать, и 1С его поняла.

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 23:09 
Рассказываю страшную тайну - создаешь пустую базу, заводишь там пользователя Администратор с полными правами, назначаешь ему любой пароль, сохраняешь список пользователей - и файл замены готов. Хотя, я так ни разу не делал - мне было проще удалить файл.

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 23:17 
да, это учебное задание,было таким: Реализовать оконное приложение, загружающее из файла имена пользователей и пароли, а так же картинки в два словаря (пользователь-картинка и пользователь-пароль), предлагающее пользователю ввести пароль и, в случае ввода правильного пароля, выводящее на экран приветствие и картинку, назначенную этому пользователю."
приложение реализовано, но вопрос поставлен преподавателем так:как повысить уровень безопасности?
ответ был мною дан- хеширование, криптование, на уровне операционной системы правильно, но требует ещё надежный способ. вот прошу помощи, кто знает какой.

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение16.11.2013, 23:27 
Имхо, навскидку, тут как минимум 2 варианта:
1) у пользователя есть вариант прямого доступа к файлу с паролями. Тут нужно криптовать файл, делать невозможным его подмену и т.п.
2) исключить возможность доступа пользователей к файлу. Защищая место его расположения на уровне ОС, или организуя запрос к нему по вэб-каналу (для авторизации просто запрос на чтение, для добавления юзеров - отдельная обработка файла по заявкам юзеров) и т.п. методы.

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение17.11.2013, 00:07 
Tatyana_math в сообщении #789482 писал(а):
но вопрос поставлен преподавателем так:как повысить уровень безопасности?
ответ был мною дан- хеширование, криптование, на уровне операционной системы правильно, но требует ещё надежный способ. вот прошу помощи, кто знает какой.

Разделить шифрование и дешифрование файла по разным приложениям. То, которое шифрует, спрятать подальше, а ещё лучше уничтожить сразу после использования. И обязательно не забыть убить программиста, который его писал - вот и не будет у злоумышленника возможности подменить файл.

Ну или как вариант, использовать несимметричное шифрование (RSA), там разные пароли для шифрования и дешифрования, и знание одного пароля не позволяет вычислить второй. Бумажку с паролем для шифрования сжечь сразу после использования.

 
 
 
 Re: защита файла от несканкционированного доступа
Сообщение17.11.2013, 11:48 
Alexu007 в сообщении #789503 писал(а):
И обязательно не забыть убить программиста, который его писал - вот и не будет у злоумышленника возможности подменить файл.


l
да, да, мёртвые обычно не разговорчивы :lol:
спасибо всем большое! :-)

 
 
 [ Сообщений: 12 ] 


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group