Autor Zpráva
Petr Ká
Profil
Zdravím,

dnes jsme na náš projekt zavedli (resp. nechali jsme si zavést od správce managed serveru) SSL (podepsaný od RapidSSL) a můj dotaz zní: Jak moc jsme si pomohli v zabezpečení? Přes htaccess jsme převedli veškerou komunikaci na https (nic nejede přes http komunikaci).
Alphard
Profil
Jestli v tom nenáte nějakou díru, tak velmi. Hesla a identifikátory vašich klientů nebudou běhat v plain textu po síti.
Petr Ká
Profil
Alphard:
Děkuji za reakci.

Pojmem "nějakou díru" myslíte co? Proti klasickým útokům (XSS, SQL injekci a podobně) je projekt chráněn dobře... Četl jsem dnes ještě něco o Man-in-the-middle (MITM) útoku, který je prý "běžný" na webech komunikující na https...
Kajman
Profil
Při mim útoku by měl být uživatel varován, že použitý certifikát není podepsaný certifikační autoritou, pokud tedy nedojde k úniku primárního klíče ze serveru.

Často se používá při https více serverů s různými certifikáty. Jeden na důležitá data (na stránky, co obsahují dynamicky data z databází) a druhý na statické soubory (obrázky, styly, statické stránky). Prolomení ssl je pravděpodobnější, pokud mim ví, co má dešifrováním vzniknout.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: