[oodisc] Mozilla 1.4 + ntlm
Rashid N. Achilov
shelton на sentry.granch.ru
Чт Авг 21 15:17:20 MSD 2003
On Thursday 21 August 2003 16:15, Raoul & Natalia Nakhmanson-Kulish wrote:
> Allin punchaw qampaq, Rashid!
>
> RNA> Но применительно к браузерам вопрос о поддержке NTLM всегда
> RNA> означает "поддержка NTLM так, чтобы логин/пароль отдавался без
> RNA> участия юзера".
> Пожалуйста, ссылку на такое определение NTLM.
Делать мне больше нечего - определеняи искать. Мне достаточно того
определения, которым я пользуюсь для оценки продуктов.
>
> >> Абсолютно справедливо. В инете достаточно много вебсерверов, на
> >> которых крутится IIS. И при автоматическом логоне такой сервер будет
> >> знать хэш вашего пароля. Оно вам надо?
> RNA> И куда он этот мой пароль засунет? То есть как он им воспользуется?
> Да как угодно. NTLM спроектирована так, что в отличие от
> аутентификации Unix-подобных систем, в хэш не подмешиваются случайные
> данные, и, следовательно, для данного сочетания логин/пароль/домен хэш
> всегда будет одинаковым. Следовательно, зная ваш хэш, взломщик может
> зайти под вашим логином на любой сервер, который пускает и вас.
Я не хожу на внешние сервера с паролями. А на внутрении страницы он все равно
не пробьется.
>
> RNA> И почему же до сих пор (а в конторе под сотню компов, на 90% из
> RNA> них IE, все автоматически логинятся в домен) ничего страшного не
> RNA> произошло?
> Потому что все это в интранете. В интернете IE запрашивает
> логин/пароль/домен, автоматического логона нет.
Че-че? А как, позвольте спросить полсотни моих юзеров ходят по Интернету и
даже не подозревают, в какой момент браузер отдал прокси логин и пароль?
>
> RNA> Если бы я был начальником...Мне нужно будет подобрать аргументы
> RNA> за переход от IE к...чему-нибудь.
> Более 20 аргументов, весомее которых что-либо придумать трудно,
> изложены тут: http://www.pivx.com/larholm/unpatched/
Я запомню ссылку на всякий случай.
>
> RNA> Плюс предубеждение юзеров на тему, что IE - это браузер всех
> RNA> времен и народов.
> Это проблемы юзеров, а не администратора.
Ошибаетесь, уважаемые. Это - проблема администратора. Потому что юзер
начальник (то есть начальник юзер). И если он скажет "квакать", то все будут
квакать (то бишь пользоваться IE).
>
> RNA> К тому же жаба в мозилле
> RNA> запрашивает пароль отдельно. Я понимаю, что это уже не баг мозиллы, но
все
> RNA> равно минус, потому что при захождении на сайт с жабой нужно пароль
вводить
> RNA> дважды.
> Этот вопрос у нас решили с помощью WinSock Proxy Client/NAT. При
> включенном WSP на клиенте и NAT на прокси в настройках Java прокси
> можно вообще не указывать, все работает без логинов/паролей. Кстати, в
> браузере тоже, но ходить браузером через NAT все-таки нерационально.
Надо попробовать.
>
> RNA> Знаю я все (нет, ВСЕ) про внешний IIS. А если мне наплевать? Вот
> RNA> хочу я так.
> Дело хозяйское. Никто не неволит. В случае чего пеняйте только на себя.
Да я и так, в общем-то...Мне все равно рассчитывать можно только на Господа
Бога, если чего случается :-)
>
> >> This is an Open Source world ;)
> RNA> I know. It has various values and lacks. But, PLEASE, do not muddle
> RNA> "developers mean" and "open-source rules".
> Nobody muddles.
It is your opition. This way it similar to Mozilla developers. But differ with
many people, which want features, similar MS IE (yes,yes, this terrible thing
has some features :-)) )
>
> Не надо пренебрегать и возможностью атаки недобросовестных конкурентов
> персонально на вашу сеть с помощью трояна штучного изготовления.
А у нас выход наружу весь перекрыт :-) Кроме некоторых особенно доверенных
компов, на которых нет уиндоуззз :-))
>
> RNA> Дальнейшая переписка - только в мыле (а если ее не будет - не
> RNA> обижусь :-) Мне-то ведь по барабану.)
> Пока гром не грянет...
Неправда :-) Я из тех, кто предпочитает покреститься заранее. :-)
--
With Best Regards.
Rashid N. Achilov (RNA1-RIPE), Web: http://granch.ru/~shelton
Granch Ltd. system administrator, e-mail: achilov на granch.ru
PGP: 83 CD E2 A7 37 4A D5 81 D6 D6 52 BF C9 2F 85 AF 97 BE CB 0A
Подробная информация о списке рассылки Oo-discuss