Защити пользователя своего
Nikita Grishko, JUNO
Почему это плохо?
- Потенциально лишняя нагрузка на сервер
- Вашу базу пользователей могут утащить
Чего мы хотим?
- Усложнить жизнь тем кто нас атакует
- Не делать больно пользователям
OAuth!
Проблемы
- Если пользователь теряет доступ к стороннему сервису, то теряет и к нашему
- Если взломан аккаунт от стороннего сервиса, то можно считать, что взломан и от нашего
State
«Произвольная строка, которая будет возвращена вместе с результатом авторизации.»
state = get_random_string()
session.set(state, expire=5 * 60)
redirect_url = 'https://oauth.vk.com/authorize?...&state=' + state
...
State
state = query['state']
if state not in session:
return Response(status=400)
...
Немного про AccessToken
$ http https://www.googleapis.com/oauth2/v3/tokeninfo?access_token=1/fFBGRNJru1FQd44AzqT3Zg
...
{
"audience":"8819981768.apps.googleusercontent.com",
"user_id":"123456789",
"scope":"profile email",
"expires_in":436
}
Запасной план
Все должно быть отключаемым
Throttling
- N (неудачных) запросов в M времени
- N (неудачных) запросов в M времени для одного IP
Throttling
key = '{user_ip}:{sec}'.format(user_ip=user_ip, sec=int(time.time()))
cache.inrc(key, expire=10 * 60)
end = int(time.time()) + 1
start = end - 60 # one minute
keys = [
'{user_ip}:{sec}'.format(user_ip=user_ip, sec=sec)
for sec in range(start, end)
]
attempts = sum(cache.get_many(keys))
if attempts > limit:
...
...
Что получает пользовать?
А что с плохими ребятами?
CAPTCHA...
CAPTCHA...
Ненавидишь своего пользователя?
Добавь капчу, пусть он страдает!
CAPTCHA...
- Сложная — пользователь страдает
- Простая — легко распознается
Tesseract
ImageMagic
Human-based CAPTCHA solving services
- DeathByCaptcha
- Bypass CAPTCHA
- Image Typerz
- ...
Proof-of-work
принцип защиты систем от злоупотребления услугами, основанный на необходимости выполнения запрашивающей стороной некоторой достаточно сложной длительной работы, результат которой легко и быстро проверяется обслуживающей стороной
Hashcash
Hashcash
stamp = '{ver}:{bits}:{date}:{resource}:{ext}:{rand}:{counter}'.format(**{
'ver': 1,
'bits': 3,
'date': 1457459496,
'resource': 'poffw',
'ext': '',
'rand': 'TI5gjgHjyGYZtbla',
'counter': 12481,
})
prefix = '0' * 3
sha3.sha3_512(stamp).hexdigest().startswith(prefix)
poffw
Server
token = random_string()
task = {
'ver': 1,
'bits': 3,
'date': int(time.time()),
'resource': 'poffw',
'ext': '',
'rand': random_string(),
}
await redis.set(token, json.dumps(task))
await redis.expire(token, 60)
Server
$ http 127.0.0.1:8080/login
HTTP/1.1 200 OK
CONTENT-LENGTH: 101
CONTENT-TYPE: application/json; charset=utf-8
DATE: Tue, 08 Mar 2016 18:11:04 GMT
SERVER: Python/3.5 aiohttp/0.21.2
X-POFFW: atIibp2AA2p7xxcW
{
"bits": 1,
"date": 1457460664,
"ext": "",
"rand": "tUJWHkU1x4Hgjosw",
"resource": "poffw",
"ver": 1
}
Server
token = request.headers['X-POFFW']
counter = data['counter']
task = await redis.get(token)
task['counter'] = counter
stamp = '{ver}:{bits}:{date}:{resource}:{ext}:{rand}:{counter}'.format(**task)
prefix = '0' * task['bits']
sha3.sha3_512(stamp).hexdigest().startswith(prefix)
Server
$ http POST 127.0.0.1:8080/login counter=3 'X-POFFW: atIibp2AA2p7xxcW'
HTTP/1.1 200 OK
CONTENT-LENGTH: 0
CONTENT-TYPE: application/json
DATE: Tue, 08 Mar 2016 18:13:50 GMT
SERVER: Python/3.5 aiohttp/0.21.2
Client
var stamp = [task.ver, task.bits, task.date, task.resource,
task.ext, task.rand].join(':'),
prefix = new Array(task.bits + 1).join('0'),
counter = 1,
check = function(counter) {
var hash = CryptoJS.SHA3([stamp, counter].join(':'));
return String(hash, {
outputLength: 512
}).indexOf(prefix) === 0;
};
while (true) {
if (check(counter)) {
return counter;
}
counter += 1;
}
Client
var parallel = new Parallel(task);
parallel.require(pathSHA3).spawn(solveWorker).then(function(counter) {
console.log('Task resolved:', counter);
});
Demo time
reCAPCTHA 2.0
Captcha.ONE
End?
poffw
Two-factor
Auth
Защити пользователя своего
By Nikita Grishko
Защити пользователя своего
[12-03-2016] MinskJS, Minsk
- 2,176