Iniciar sesión automáticamente en otra sesión a través de Wi-Fi

Navega tus respuestas
7

Recientemente, experimenté un comportamiento muy extraño en nuestra red Wi-Fi: compartimos una red Wi-Fi mediante un enrutador simple. Uno de nosotros paga las facturas y él es el que obtuvo la cuenta de administración de nuestro ISP.

Entonces, si quiero iniciar sesión para ver mis facturas de telefonía móvil (el ISP hace ambas cosas, internet y por cable; tengo mi propia cuenta). Me conecto automáticamente con his administración de Internet. cuenta, desde diferentes dispositivos a través de Wi-Fi.

¿Cómo puede ser esto posible? No puedo encontrar información útil sobre eso. Como sé desde el punto de vista de los programadores, la administración simple de sesiones debería evitar este tipo de comportamiento (por ejemplo, las cookies). ¿Significa que la administración de la sesión solo está del lado del servidor y solo está vinculada a IP (servidor, problema de programación)?

Creo que el ISP vinculó automáticamente la IP externa de nuestro enrutador a esta cuenta de administración única, lo que sería, en mi opinión, un problema muy grande (ver facturas, cambiar datos de direcciones, etc.).

    
pregunta ERit 07.11.2012 - 20:15
fuente

3 respuestas

3

Después de leer la respuesta de Lucas Kauffman, me comuniqué con un amigo mío que ha trabajado en el negocio de los ISP desde principios de los años 90. Esto es lo que tenía que decir al respecto:

  

Se sorprendería de la cantidad de sistemas que funcionan así en los ISP, ya que confían en que todos sus sistemas internos estén seguros, incluso si no lo están. Muchos de los viejos sistemas de control y cosas contables solían estar en los mainframes de IBM, mucho antes de que existiera PHP o ASP Todo lo relacionado con la autenticación por MAC proviene de los viejos tiempos de los módems analógicos a través de las líneas telefónicas, donde la compañía de telecomunicaciones lo autenticaría por su número de teléfono o dirección MAC. En aquel entonces era muy raro que los usuarios tuvieran más de una computadora en una línea, ya que las computadoras eran muy caras y en realidad nadie hacía interruptores o enrutadores de consumo en ese entonces. Incluso cuando T3 e IDSN estaban cerca, mucha gente todavía tenía una caja conectada a través de un módem, por lo que un MAC parecía una buena idea para ahorrar tener que lidiar con las sesiones adecuadas.

     

Muchos de los tipos que hacen los nuevos sistemas son ingenieros de telecomunicaciones de los viejos tiempos, o al menos los que escriben las especificaciones son y solo consiguen que algunos estudiantes universitarios ecológicos escriban el código. Tiende a sangrar mucho por la forma en que se hicieron las cosas en el pasado. Es un gran problema y siempre ves a los asesores de seguridad haciendo muecas cuando ven cosas realmente antiguas.

Entonces, sí, es estúpido, pero se debe principalmente a la ignorancia de la computación doméstica moderna y los requisitos de seguridad modernos. Estos muchachos son los greybeards de la industria, por lo que todos difieren a su juicio.

    
respondido por el Polynomial 07.11.2012 - 22:58
fuente
3

Sí, esto puede ser posible. El sitio web del ISP detecta automáticamente que se está conectando desde un enrutador de su propia red. Piensa que eres el propietario del enrutador y te autentica automáticamente como tal (las credenciales se almacenan en el enrutador).

He visto esto hecho antes y es solo un diseño estúpido en mi humilde opinión. Especialmente si esto funciona también desde WiFi.

    
respondido por el Lucas Kauffman 07.11.2012 - 21:17
fuente
0

Sí, esto se hace comúnmente. Sin embargo, el método habitual es mostrar solo la información de diagnóstico de forma predeterminada, por ejemplo, Cuota de uso y número de cuenta. De esa manera cualquier persona en la red local puede hacer una verificación de cuotas. Para cualquier otra cosa (cambio de tarjeta de crédito, cambio de plan, cambio de dirección) todavía se requiere un inicio de sesión.

    
respondido por el scuzzy-delta 07.11.2012 - 22:01
fuente

Lea otras preguntas en las etiquetas

Rastrea un gran volumen de tráfico web, detenido en VPN ¿Hay algún inconveniente en el uso de la "pseudoautentificación" de OAuth en lugar de OpenID?