<<< вернуться назад | на главную страницу
Безопасность при нахождении в чате
Пожалуйста, потратьте 10 минут и прочитайте эту страницу, это важно!
Общие советы
- Никому не сообщайте пароль, ни при каких обстоятельствах,
без исключений. Даже администратору чата.
Если настоящий администратор захочет узнать ваш пароль - он это узнает
без вашего согласия. Так же он сможет сменить вам пароль. Не реагируйте на
сообщения/письма/программы/веб-сайты, выманивающие ваш пароль
под какими-то заманчивыми предлогами.
Вводите пароль только на страницах этого чата и только
в специальных формах ввода пароля (там, где пароль затеняется звездочками
при вводе).
- Не копируйте URL (ссылки), которые содержат слово 'PHPSESSID' и секретный код.
Пример ссылки, которую вы НИКОМУ И НИКОГДА не должны копировать:
nik-chat.net/?PHPSESSID=e1da5fbe16f62dc0c91ab452dc7eebdd.
Если вы хотите послать кому-то ссылку, где есть такой длинный (32 символа)
буквенно/цифровой секретный код (буквы a,b,c,d,e,f и цифры), то удаляйте вручную
этот код. Данная строка-код является идентификатором для сервера.
Именно по нему сервер отличает пользователей друг от друга.
Этот секретный код очень длинный, поэтому никто не сможет подобрать ваш
код, но вы должны заботится о том, чтобы не сообщать его посторонним людям.
Этот код важен не меньше чем ваш пароль! Если кто-то попросит вас сообщить этот код -
не соглашайтесь. Но особо волноваться не стоит:
чат устроен так, что неопытный пользователь не в состоянии
узнать свой секретный код, соответственно и передать его куда-то тоже не сможет.
Данный секретный код, если вы его отправите в чат, будет автоматически искажен,
чтобы никто в чате из ваших сообщений его не смог получить.
Но если вы его по ошибке отправите злоумышленнику другим путем (через ICQ или почту),
чат не сумеет исправить вашу ошибку и доверчивость на разные уговоры.
Не отсылайте этот код никому - ни вашему другу, ни администратору чата,
ни под любыми другими предлогами.
Этот код выдается при каждом входе в чат, т.е. постоянно меняется, а
старые коды сразу утрачивают свое значение (удаляются с сервера).
- По окончании работы в чате закрывайте все окна браузера!
Закрытие всех окон приводит к завершению вашей сессии в чате и снятию
состояния авторизации. Это особенно важно, если вы работаете
за чужим компьютером! Если вы сидите в чате со своего домашеного
компьютера или персонального ноутбука, то смысла закрывать окна нет.
Это важно только если кто-то посторонний имеет физический доступ к
компьютеру, где вы только что сидели в чате и не закрыли окна браузера.
- Не открывайте в чате ссылки от не знакомых людей.
В чате любые посетители могут вставлять ссылки,
которые могут приветсти вас на страницы с вирусами или
рекламными ловушками с незакрывающимися окнами.
Кроме того, злоумышленник может дать вам ссылку, чтобы
узнать ваш IP-адрес. Имея IP-адрес можно определить ваше географическое
положение. Наиболее опасное, если злоумышленник будет флудить
ваш IP-адрес, тогда вы потеряете связь с Интернетом и отключитесь от чата
(т.е. не будет загружатся вообще ни один сайт).
Однако, если какая-то ссылка введет на хорошо знакомый вам сайт
(допустим, "www.yandex.ru") и не содержит каких-то буквенно-цифровых
кодов (например, "8923419e26950abec5c82489e5c93da3"), то это нормальная
и безопасная ссылка.
- Для вашей большей безопасности включите cookies.
Если вы не знаете, что это такое - пропустите данный совет.
Если вы намеренно отключили cookies, то тем самым отключили и
один из самых надежный алгоритмов защиты от взлом вашей учетной записи.
Сам чат работает и при выключенных, и при включенных cookies.
- Пользуйтесь кнопкой <Выход> на главной странице
(не путайте ее с аналогичной кнопкой внутри чата).
Эта кнопка позволяет удалить из вашего компьютера всю сохранную информацию:
ник, пароль, историю сообщений, выбранный цвет и т.п.
Это полезно, если вы хотите стереть с компьютера все параметры.
Не волнуйтесь, <Выход> не удалит вашу регистрационную анкету
на чат-сервере. Это всего лишь очищение временных параметров.
После этого вы опять можете войти, введя ник и пароль -
чат-сервер "вспомнит" все ваши сохраненные настройки.
Так же эта кнопка снимает состояние авторизации, даже если
вы не закрыли всех окон браузера.
- Не реагируйте на уговоры что-то сделать!
Если кто-то, особенно не знакомый вам человек,
по каким либо заманчивым предлогом настойчиво (или не очень)
просит ваш что-то сделать, не соглашайтесь на это! Относитесь
ко всему с недоверием. Выполняйте только указания прочитать
справку :-) Доверяйте только тем, кого вы знаете.
Если вас просят сообщить некоторые технические детали
(а не личную информацию), то ни в коем случае не соглашайтесь.
Злоумышленник может под благовидным и часто заманчивым предлогом
попросить вас что-то сделать на вашем компьютере,
а на самом деле это либо приведет к зависанию вашего компьютера,
либо, в худшем случае, к появлению вирусов или троянских коней.
Не запускайте незнакомые вам программы, не скачивайте файлы
(которые вам рекомендовали), не запускайте из почты
вложений к письмам.
Выбор режима безопасности
На главной странице есть такое меню:
РЕКОМЕНДАЦИЯ: используйте только СРЕДНИЙ или ВЫСОКИЙ уровень. Два других даны
только на крайний случай, если в чате возникают ошибки
или это реально нужно (простым пользователям не надо).
Меню позволяет вам выбрать метоты защиты от взлома вашей учетной записи на чат-сервере
посторонними людьми. Не следует расценивать это как слабость чатов.
Дело в том, что множество мошенников постоянно придумывают разные изощренные
способы узнать пароль администратора или любого другого человека
с корыстной целью. К сожалению, многие люди, иногда, попадаются на
такие уловки, в результате чего посторонние люди получают права
администратора чата (или других людей). Эти уловки действительно очень
изощренные, т.к. жертвы и не догадываются, что посторонний человек
завладел временной учетной записью или даже паролем.
Алгоритмы безопасности в чате направленны
как раз на подстраховывание человеческих ошибок.
Даже если кто-то не аккуратно передаст кому-то ссылку с секретным кодом
(см. пункт 2) или из-за некомпетентности какого-либо
администатора чата будет возможно получить доступ к учетным записям пользователей
(когда они вообще не причем), вот тут-то алгоритмы безопасности
и не позволят злоумышленникам захватить временные учетные записи.
Еще раз подчеркиваем, что это не слабость чата и не ваша головная боль.
Все другие обычные веб-программы (форумы, порталы, другие чаты и т.п.)
не имеют почти никаких алгоритмов по защите пользователей.
В данном же чате у вас есть на выбор 3-х вариантов защищенности или
отключение всех алгоритмов по защите. Даже при полном отключении безопасности
вы не становитесь менее защищены. Просто при этом, в случае вашей ошибки
(вы случайно передадите секретный код)
или ошибки администратора чата, никто не помешает злоумышленнику воспользоваться
чужими учетными записями.
Если вы выбрали какой-либо уровень безопасности (кроме "отключено")
и в случае реальной попытки взома учетной записи (если злоумышленник получит
ваш секретный код) ваша временная учетная запись блокируется.
И злоумышленнику, и вам выводится большая страница с подробным описанием
случившегося. Разблокировать учетную запись сможете только вы,
либо введя ваш пароль, либо если ваш браузер передаст дополнительные
ключи авторизации (автоматически). При работе в чате алгоритмы безопасности
постоянно следят, чтобы уникальный идентификатор вашего компьютера никогда
не менялся. Стоит один раз этому идентификатору измениться (это произойдет
только при попытке взлома), как ваш сеанс нахождения в чате сразу временно
блокируется. Злоумышленник ничего не сможет сделать в такой ситуации.
Пропустить эту страницу или не понять что она значит - не возможно.
Не удивляйтесь, что вы никогда не видели ее - просто сам факт взлома крайне
ничтожен и возможен только при грубейших нарушениях админитраторами чата
настроек или при вашей намерянной передаче вашего секретного кода посторонним
лицам. Все алгоритмы по безопасности нужны только на такие, исключительные
случаи. Обычно администраторы чата не допускают вопиющих ошибок при установке
чата, а пользователи даже не в состоянии узнать свой собственный
секретный код, не говоря уже о его передачи другим людям.
И поэтому обычно эти алгоритмы никогда не срабатывают.
Выбор разных режимов безопасности - это включение или отключение
некоторых алгоритмов проверки и поведения в чате.
В следующей таблице сведены все методы работы чата.
Алгоритмы проверок и особенности чата |
Высокий |
Средний |
Низкий |
Отключено |
Временное сохранение пароля после выхода из чата на 30-60 минут, для облегченного входа (закрытие окон или <Выход> - сброс) |
не сохр. |
есть |
есть |
есть |
Постоянное хранение не секретной информации в cookies вашего компьютера: ник, цвет и т.п. |
не сохр. |
есть |
есть |
есть |
Проверка уникального идентификатора вашего компьютера. У всех компьютеров эти идентификаторы разные. |
есть |
есть |
есть |
нет |
Проверка секретной cookies (N1) |
есть |
есть |
есть |
нет |
Проверка точного совпадения IP-адреса |
есть |
есть |
нет |
нет |
Проверка совпадения подсети IP-адреса: XXX.XXX.XX*.* |
нет |
нет |
есть |
нет |
Возможность прозрачно как угодно менять IP-адрес, если браузер передает секретную cookies или HTTP-ключ (N2) |
нет |
есть |
есть |
нет |
Проверка секретного HTTP-ключа: самый надежный и невзламываемый метод, но может глючить на некоторых браузерах (N3) |
есть |
есть |
нет |
нет |
Примечание (N1): - только если ваш браузер работает при включенных cookies. Если из-за политики
безопасности браузер блокирует cookies с чат-сервера, то чат
вынужден автоматически отключить данные алгоритмы защиты.
Если вы не знаете, что такое Cookies, то они у вас работают (так настроены браузеры изначально).
Примечание (N2):
Вы можете как угодно менять свой IP-адрес, чат не будет блокировать
вашу работу и считать это попыткой взлома. Но только, если
работает алгоритм передачи секретной cookies или секретного
HTTP-ключа (хотябы один из двух)! На высоком уровне безопасности
даже при передачи этих ключей запрещено менять IP-адрес (на всякий
случай, для 100% гарантии).
Примечание (N3):
Этот метод практически идеален для защиты от кражи вашей временной
учетной записи, но не исключена вероятность ошибок в браузере:
появление всплывающего стандартного окна запроса логина и пароля для
входа на сайт. Если вдруг вы увидите такое окно и оно будет вам мешать
- используйте низкий уровень безопасности. Данный метод
дополнительно требует включенных cookies.
Как видите, "Высокий" уровень запрещает как-либо менять ваш IP-адрес.
"Средний" тоже запрещает, но если ваш браузер при изменении IP-адреса
передает секретную cookies (которую нельзя украсть), то чат-сервер
разрешает такое изменение и вы этого даже не заметите.
В случае с "Высоким" уровнем при изменнии вашего IP-адреса
чат-сервер заблокирует вашу учетную запись (т.к. он будет думать, что
ее пытается загрузить злоумышленник), но даст возможность ввести ваш пароль.
Если вы введете правильно пароль, то учетная запись разблокируется и
вы сможете продолжить общение в чате со старого места.
"Средний" уровень позволяет менять IP-адрес только при наличии секретной куки,
а "Низкий" - в пределах сети.
"Высокий" уровень проверки является недосигаемым для кражи учетной записи
злоумышленниками, но и создает некоторые неудобства, например, отключение
запоминания пароля (на 30-60 минут) при выходе из чата (если окно чата остается
открытым) и полный запрет на
изменение IP-адреса. Но ради безопасности
администраторам чата крайне рекомендуется пользоватеться именно этим режимом!
Пользователям же чата, особенно если они работают за персональными
компьютерами (к которым никто не имеет физического доступа) рекомендуется
"Средний" уровень.
Галочка "Запомнить пароль"
Этот параметр стоит обособленно, т.к. сохранять или нет пароль (в cookies) -
решать вам, вне засимости от выбранного метода безопасности.
Ни в коем случае не стоит включать сохранение пароля за чужими компьютерами!
В гостях, в интернет-кафе, у постороннего человека, в случайных местах
никогда не сохраняйте пароль. Иначе другие люди, имеющие доступ к компьютеру,
войдут в чат, даже не зная пароля! Благодаря криптованию пароля в cookies
посторонние люди не узнают ваш настоящий пароль, но смогут таки входить в чат,
не вводя пароля. Но, к примеру, изменить пароль уже не смогут, т.к.
при изменении пароля требуется ввести старый.
|