| Autor | Zpráva | ||
|---|---|---|---|
| dspanhel Profil |
#1 · Zasláno: 6. 8. 2006, 23:31:34
Jak udělat co nejbezpečnější přihlašování z HTML stránky do webové aplikace (PHP, MySQL)? Momentálně mám přihlašování uděláno jen jako input type text pro username a input type password pro heslo a to ještě jen přes HTTP. Hesla mám nezašifrované uložené v databázi. Čili mi hesla v nezašifrované podobě putují sítí.
Rád bych bezpečnost přihlašování výrazně zvýšil. Použít HTTPS je asi první krok. Máte někdo tipy, jak dále zabezpečení výrazně zvýšit? Kdysi dávno jsem četl nějaký tip, že javascriptem lze heslo zašifrovat MD5 už na klientovi a pak jej jen porovnávat s heslem zašifrovaným v MD5 i v databázi, ale vůbec nevím, jak na to, s Javascriptem nejsem až tak velký kamarád ... Díky moc za všechny tipy, názory a odkazy na příklady. |
||
| quinux Profil |
#2 · Zasláno: 6. 8. 2006, 23:44:21
HTTPS je myslím dostatečné a v současné době asi nejlepší a nejbezpečnější řešení. Žádným javascriptem bych to nekomplikoval už proto, že uživatel může mít javascript vypnutý.
Jediné co mohu poradit, je aby už přihlašovací formulář byl na zabezpečené (https) stránce. |
||
| Nox_lbc Profil |
#3 · Zasláno: 6. 8. 2006, 23:56:40
a místo MD5 něco silnějšího ... minimálně SHA1 ...
|
||
| Jakub Profil |
#4 · Zasláno: 6. 8. 2006, 23:57:09
Https je dobré, ale hosting se SSL dražší. Doporučuju HMAC, detaily u Jakub Vrány. Nic lepšího (když není SSL) neznám (IMHO není). Ale je to závislé na JS.
|
||
| dspanhel Profil |
#5 · Zasláno: 6. 8. 2006, 23:58:19 · Upravil/a: dspanhel
Reakce na quinix:
Ano, ale pokud se nepletu, pokud bude nějaká funkce v javascriptu šifrovat heslo do MD5, pak při zapnutém javascriptu na server přijde zašifrované heslo a při nezapnutém javascriptu přijde heslo nezašifrované - a to lze na serveru ošetřit a oba typy vhodně zpracovat. Navíc ona aplikace zapnutý Javascript vyžaduje, bez něj nefunguje. Není určena pro masové používání, spíše pro omezenou skupinu uživatelů. |
||
| dspanhel Profil |
#6 · Zasláno: 7. 8. 2006, 00:00:41
Díky, tohle je věc, kterou jsem nejvíce hledal.
Https je dobré, ale hosting se SSL dražší. Doporučuju HMAC, detaily u Jakub Vrány. Nic lepšího (když není SSL) neznám (IMHO není). Ale je to závislé na JS. |
||
| dspanhel Profil |
#7 · Zasláno: 7. 8. 2006, 00:02:37
Https je dobré, ale hosting se SSL dražší. Doporučuju HMAC, detaily u Jakub Vrány. Nic lepšího (když není SSL) neznám (IMHO není). Ale je to závislé na JS.
Spíše by mne ještě zajímalo - když použiji HTTPS (a nedovolím klientovi se připojit přes HTTP), pak jde heslo zaslané přes Internet nějak jednoduše odposlechnout nebo získat? Věcem jako sniffing apod. moc nerozumím:-( Čili - použití HTTPS je stejně kvalitní jako použití např. již zmíněného HMAC? Jinak všem díky za tipy. |
||
| quinux Profil |
#8 · Zasláno: 7. 8. 2006, 00:03:29
dspanhel
No nevím jak funguje SSL, ale když jsi na https stránce s formulářem a přihlásíš se tak není důvod něco šifrovat javascriptem, když samotné https již šifrováno je. ;o) |
||
| quinux Profil |
#9 · Zasláno: 7. 8. 2006, 00:06:31
dspanhel
když použiji HTTPS (a nedovolím klientovi se připojit přes HTTP), pak jde heslo zaslané přes Internet nějak jednoduše odposlechnout Pokud vím, tak od toho právě SSL je - aby nešlo heslo odposlechnout. Uživetel kliknutím na tlačítko "přihlásit" zakóduje všechna data (to dělá samozřejmně prohlížeč a vněm instalovaný SSL) a odešle na srver, kde se to rozkóduje. |
||
| Jakub Profil |
#10 · Zasláno: 7. 8. 2006, 00:08:09
|
||
| dspanhel Profil |
#11 · Zasláno: 7. 8. 2006, 00:16:15
Hlavně, jak jsem si právě v této pokročilé hodině přečetl, ani HMAC na HTTP není úplně bezpečný a také jde obejít. Čili se "spokojím" s používám HTTPS od začátku až do konce.
Ještě jednou díky všem za rady |
||
|
Časová prodleva: 19 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0