Autor | Zpráva | ||
---|---|---|---|
Petr Ká Profil |
#1 · Zasláno: 24. 3. 2014, 18:51:22
Zdravím,
dnes jsme na náš projekt zavedli (resp. nechali jsme si zavést od správce managed serveru) SSL (podepsaný od RapidSSL) a můj dotaz zní: Jak moc jsme si pomohli v zabezpečení? Přes htaccess jsme převedli veškerou komunikaci na https (nic nejede přes http komunikaci). |
||
Alphard Profil |
#2 · Zasláno: 24. 3. 2014, 19:12:45
Jestli v tom nenáte nějakou díru, tak velmi. Hesla a identifikátory vašich klientů nebudou běhat v plain textu po síti.
|
||
Petr Ká Profil |
#3 · Zasláno: 24. 3. 2014, 19:38:44
Alphard:
Děkuji za reakci. Pojmem "nějakou díru" myslíte co? Proti klasickým útokům (XSS, SQL injekci a podobně) je projekt chráněn dobře... Četl jsem dnes ještě něco o Man-in-the-middle (MITM) útoku, který je prý "běžný" na webech komunikující na https... |
||
Kajman Profil |
#4 · Zasláno: 24. 3. 2014, 19:55:21
Při mim útoku by měl být uživatel varován, že použitý certifikát není podepsaný certifikační autoritou, pokud tedy nedojde k úniku primárního klíče ze serveru.
Často se používá při https více serverů s různými certifikáty. Jeden na důležitá data (na stránky, co obsahují dynamicky data z databází) a druhý na statické soubory (obrázky, styly, statické stránky). Prolomení ssl je pravděpodobnější, pokud mim ví, co má dešifrováním vzniknout. |
||
Časová prodleva: 10 let
|
0