[oodisc] Mozilla 1.4 + ntlm

[Raoul & Natalia Nakhmanson-Kulish]

Allin punchaw qampaq, Rashid!

RNA> Но применительно к браузерам вопрос о поддержке NTLM всегда
RNA> означает "поддержка NTLM так, чтобы логин/пароль отдавался без
RNA> участия юзера".
Пожалуйста, ссылку на такое определение NTLM.

>> Абсолютно справедливо. В инете достаточно много вебсерверов, на
>> которых крутится IIS. И при автоматическом логоне такой сервер будет
>> знать хэш вашего пароля. Оно вам надо?
RNA> И куда он этот мой пароль засунет? То есть как он им воспользуется?
Да как угодно. NTLM спроектирована так, что в отличие от
аутентификации Unix-подобных систем, в хэш не подмешиваются случайные
данные, и, следовательно, для данного сочетания логин/пароль/домен хэш
всегда будет одинаковым. Следовательно, зная ваш хэш, взломщик может
зайти под вашим логином на любой сервер, который пускает и вас.

RNA> И почему же до сих пор (а в конторе под сотню компов, на 90% из
RNA> них IE, все автоматически логинятся в домен) ничего страшного не
RNA> произошло?
Потому что все это в интранете. В интернете IE запрашивает
логин/пароль/домен, автоматического логона нет.

RNA> Если бы я был начальником...Мне нужно будет подобрать аргументы
RNA> за переход от IE к...чему-нибудь.
Более 20 аргументов, весомее которых что-либо придумать трудно,
изложены тут: http://www.pivx.com/larholm/unpatched/

RNA> Плюс предубеждение юзеров на тему, что IE - это браузер всех
RNA> времен и народов.
Это проблемы юзеров, а не администратора.

RNA> К тому же жаба в мозилле
RNA> запрашивает пароль отдельно. Я понимаю, что это уже не баг мозиллы, но все 
RNA> равно минус, потому что при захождении на сайт с жабой нужно пароль вводить 
RNA> дважды.
Этот вопрос у нас решили с помощью WinSock Proxy Client/NAT. При
включенном WSP на клиенте и NAT на прокси в настройках Java прокси
можно вообще не указывать, все работает без логинов/паролей. Кстати, в
браузере тоже, но ходить браузером через NAT все-таки нерационально.

RNA> Знаю я все (нет, ВСЕ) про внешний IIS. А если мне наплевать? Вот
RNA> хочу я так.
Дело хозяйское. Никто не неволит. В случае чего пеняйте только на себя.

>> This is an Open Source world ;)
RNA> I know. It has various values and lacks. But, PLEASE, do not muddle
RNA> "developers mean" and "open-source rules".
Nobody muddles.

>> Кому не нравится - тот идет на bugzilla, заполняет баги и пишет патчи.
>> А не поднимает бурю в стакане воды.
RNA> Поможет?
Уже неоднократно помогало.

RNA> За последние шесть лет я не затратил ни одного дня
RNA> (тьфу-тьфу-тьфу...Да, я суеверен :-) ) на ликвидацию вирусов и
RNA> троянов. Почему? Почта фильтруется на сервере, а на каждом компе
RNA> стоит Каспер, который обновляется регулярно и вовремя.
Блажен, кто верует. Появление быстро распространяющегося червя,
использующего еще не пропатченную дыру в Windows или MSIE - вопрос
времени. А потенциальная скорость распространения подобного рода
червей лишает всякой надежды на оперативную реакцию антивирусных
компаний.

Не надо пренебрегать и возможностью атаки недобросовестных конкурентов
персонально на вашу сеть с помощью трояна штучного изготовления.

RNA> Дальнейшая переписка - только в мыле (а если ее не будет - не
RNA> обижусь :-) Мне-то ведь по барабану.)
Пока гром не грянет...

__
Счастливой Пачи - Myr AKA Manko
PGP DH/DSS Key ID 0x11807439, Fingerprint dhgGjJy7vbTzfdp+97vZ8hGAdDk=