| Autor | Zpráva | ||
|---|---|---|---|
| Herm Profil |
#1 · Zasláno: 9. 4. 2010, 17:33:51
Dobrý den, potřebuju se přihlásit přes formulář pomocí ajaxu (tzv. aby to bylo dynamické). Normálně posílám hodnoty s formulářu pomocí tohoto příkazu z jquery
$.post("uzivatel.php", { name: name, narodnost: narodnost, typ: typ });a proto me zajíma jestli je bezpečné přes toto posílat password? Popřípadě bych uvítal nějakej tip nebo příklad jak to bezpečne a dynamicky přehodit. Díky za rady:) |
||
| bohyn Profil |
#2 · Zasláno: 9. 4. 2010, 18:36:01
Herm:
Bezpecnost je stejna jako kdyz se posila formular pres HTTP (tedy plain text). Pro zabezpeceni doporucuji pouzit HTTPS. Pokud nemate moznost HTTPS tak pouzit variantu challenge-response kdy server nahodne vygeneruje retezec a odesle jej klientovi. Ten pouzije nahodny retezec + otisk hesla a vygeneruje novy otisk ktery odesle na server. |
||
| Herm Profil |
#3 · Zasláno: 9. 4. 2010, 18:48:20
bohyn:
HTTPS nemám možnost boužel. A co se týče toho náhodného řetězce moc jsem to nepochopil, ani jak to funguje. Pokud bys mohl, tak mi prosím hod nějaký příklad jak to funguje, nejlepé to poznám na tom. |
||
| bohyn Profil |
#4 · Zasláno: 9. 4. 2010, 18:57:26
1) na serveru vygeneruju nahodny retezec, odeslu prohlizeci a na serveru ulozim, treba do session promenne
2) v prohlizeci vezmu heslo udelam hash (treba sha1)*, prictu nahodny retezec ktery poslal server a udelam znovu hash. Vysledek odeslu na server. 3) kontrola na serveru: vezmu ulozeny nahodny retezec sectu s otiskem hesla ulozenym v databazi a porovnam s tim co poslal prohlizec. * lepsi je to jeste spojit se soli (salt), ale to zalezi na tom jak mas hesla ulozeny serveru. |
||
|
Časová prodleva: 16 let
|
|||
0