lakpun @ 4.9.2012
Угроза такая, что, теоретически, если с его компьютера перехватывают запросы от клиента к серверу(причем перехватывают внедрением на ЕГО компьютер вируса и поднятием на ЕГО пк прокси сервера через localhost., почему именно на его машине? - потому что перехватывать траффик вне машины смысла нет, ибо у старзов он шифруется), то в этом случае злоумышленники могут теоретически запросы воспроизвести(самим запросить аудит) или подделать(напр сделать трансфер на левый акк) и всё это не вводя логин и пароль на другом пк. Подделать запросы можно, взяв session_id и взяв порядковый request_id, прибавив к нему +1 шаг. Почему я два раза сказал "Теоретически", потому что я не знаю что там у клиента старзов, как величины называются, каков шаг и т.п., не смотрел, если честно, но уверен на 99%, что задача будет для хакера крайне нетривиальной, скорее всего там не всё так просто и как минимум еще есть проверка на целостность, т.е. придется для начала вычислить как задается алгоритм целостности(md5, или что, не знаю, может вообще у них еще внутристарзовский алгоритм есть), а потом, после вычисления, его придется рассчитать с измененными исходными данными, а расчеты могут быть гораздо сложнее вычисления, потому что потребуется специальный софт, которого скорее всего нет нигде, т.к. он для внутреннего использования. К тому же, обычно сервер клиенту выставляет тайминг всего несколько секунд, после истечения которых request_id аннулируется и нужно вводить следующий шаг, это еще фигня, но вот после не получения сервером отчетов о паре отправленных запросов произойдёт disconnect или logout, и нужно будет ждать следующего подключения для выяснения нового session_id, что в свою очередь приведет к пересчету целостности и т.п.
Со стороны хакеров попытка выполнить вышеописанные танцы с бубном с кучей неизвестных переменных была бы верхом мазохизма, т.к. если ты можешь внедрять на атакуемую машину вирусы, то нафига всё вышеописанное нужно делать, не проще ли внедрить кейлоггер?
У меня схожее ощущение было, когда я смотрел Доктора Хауса, а там диагноз ставили. Теперь вот ты это с моим мозгом сделал).
Чтобы не смотрелось, как оффтоп: А чего только жену предлагаете, весь Николаев не легче забанить?
смысл что-то у нее спрашивать ?
Это же ее муж....
Да и решения они наверно вместе принимают, в том числе и по аудиту)