Autor Zpráva
tuzticzka
Profil
Ahoj, chtěl bych pro bezpečnější přihlašování použít v JS nějaký šifrovací algoritmus, který by se dal v PHP dešifrovat... Nemáte s tím někdo zkušenost? Klasické posílání nezakódovaného hesla přes POST mi nepřijde dvakrát moc bezpečné, když není problém naslouchat provoz po síti.
Děkuji za tipy
Joker
Profil
No, to si ale moc nevyberete... když stránka bude posílat kódované heslo a útočník bude poslouchat na síti (tzn. to asi nebude totální lama), stačí mu odchytit to kódované heslo a potom ho serveru poslat.

I když čistě teoreticky by to šlo tak, že by se heslo pokaždé šifrovalo podle jiného klíče a ten klíč by byl uložený na serveru... vzniká ale problém, jak dostat ten klíč na klienta, pokud útočník poslouchá na síti.
souki
Profil
tuzticzka
A co https?
tuzticzka
Profil
Web provozuju na freehostingu, kde není https dostupné, ale zamýšlel jsem to v podstatě stejně jako Joker. Tak si pomalu říkám, jestli to má vůbec cenu si tak komplikovat život vymýšlením nějakého dalšího zabezpečení(oproti POST), když to stejně stroskotá na přenosu klíče mezi serverem a klientem...
los
Profil *
Pozri si "challenge response" (http://pajhome.org.uk/crypt/md5/auth.html).
DJ Miky
Profil
http://php.vrana.cz/bezpecne-prihlasovani-uzivatelu.php
ninja
Profil
tuzticzka: Spocitej si kolik ti vytvareni vlastniho systemu zabezpeceni zabere hodin prace (a sjtene to bude velmi pravdepodobne derave), pak se podivej na ceny hostingu. Urcite se vyplati prejit na normalni a pouzit https zabezpeceni.
peta
Profil
tuzticzka
Ja bych to resil tez pres https nebo session['ip']. Jeste by se mozna dalo pouzit .htaccess, napojeni na PH si ted nevzpomenu, jak se to tam jmenuje.
Dalsi komplikace je zbytecna prace navic.

Pripadne se da pouzit predsifrovani javascritem (LOS pajhome) s posilanim unikatniho cisla pro kazdou stranku ulozeneho treba do session. Ale stejne ti to prilis nepomuze pri odchyceni relace. Problem je, ze sifrovaci algoritmus u JS mas znamy a pruhledny, tudiz nezabezpeceny.
souki
Profil
peta
šifrování nen založené na tom, že nikdo nezná algoritmus
peta
Profil
souki
Myslel jsem to spis tak, ze jestlize v MD5 v JS neco vygeneruje, tak tam ma cely algoritmus. Takze pokud nekdo bude chtit zakodovane heslo desifrovat, tak to muze zpetne zkouset. Urcite kolizi do 12 znaku nebude zas tolik sedet s md5.

V pripade wifi a odchyceni transakce je stejne v haji, to se hnedka na stejny md5 prihlasi nekdo jiny. Tomu jde zabranit pouze pri logovani pridani nahodneho cisla phpckem a to je pak pouzito pro generovani md5. Jenze toto cislo je treba do stranky nekde ulozit.
Asi by to slo, ze by pri odchceni transakce prihlaseni se musel prihlasit tesne pred uzivatelem, tim se zmeni nahodne cislo v session a uzivatel je pak v haji. Cili leda zablokovat prenos mezi uzivatelem a serverem hnedka pri zjisteni stahovani logovaci stranky. jak dostane cislo a odesle, tak se to nesmi dostat k serveru.
souki
Profil
peta
ne, to nepůjde


tuzticzka
zkrátka nevymýšlej kolo a přejdi někam, kde je https, pokud tak nutně potřebuješ zabezpečit přenos

Vaše odpověď

Mohlo by se hodit

Neumíte-li správně určit příčinu chyby, vkládejte odkazy na živé ukázky.
Užíváte-li nějakou cizí knihovnu, ukažte odpovídajícím, kde jste ji vzali.

Užitečné odkazy:

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0