Autor | Zpráva | ||
---|---|---|---|
tuzticzka Profil |
#1 · Zasláno: 1. 9. 2008, 02:00:49
Ahoj, chtěl bych pro bezpečnější přihlašování použít v JS nějaký šifrovací algoritmus, který by se dal v PHP dešifrovat... Nemáte s tím někdo zkušenost? Klasické posílání nezakódovaného hesla přes POST mi nepřijde dvakrát moc bezpečné, když není problém naslouchat provoz po síti.
Děkuji za tipy |
||
Joker Profil |
#2 · Zasláno: 1. 9. 2008, 10:04:19
No, to si ale moc nevyberete... když stránka bude posílat kódované heslo a útočník bude poslouchat na síti (tzn. to asi nebude totální lama), stačí mu odchytit to kódované heslo a potom ho serveru poslat.
I když čistě teoreticky by to šlo tak, že by se heslo pokaždé šifrovalo podle jiného klíče a ten klíč by byl uložený na serveru... vzniká ale problém, jak dostat ten klíč na klienta, pokud útočník poslouchá na síti. |
||
souki Profil |
#3 · Zasláno: 1. 9. 2008, 13:21:09
tuzticzka
A co https? |
||
tuzticzka Profil |
#4 · Zasláno: 2. 9. 2008, 00:35:33
Web provozuju na freehostingu, kde není https dostupné, ale zamýšlel jsem to v podstatě stejně jako Joker. Tak si pomalu říkám, jestli to má vůbec cenu si tak komplikovat život vymýšlením nějakého dalšího zabezpečení(oproti POST), když to stejně stroskotá na přenosu klíče mezi serverem a klientem...
|
||
los Profil * |
Pozri si "challenge response" (http://pajhome.org.uk/crypt/md5/auth.html).
|
||
DJ Miky Profil |
#6 · Zasláno: 2. 9. 2008, 11:04:31
|
||
ninja Profil |
#7 · Zasláno: 2. 9. 2008, 13:18:28
tuzticzka: Spocitej si kolik ti vytvareni vlastniho systemu zabezpeceni zabere hodin prace (a sjtene to bude velmi pravdepodobne derave), pak se podivej na ceny hostingu. Urcite se vyplati prejit na normalni a pouzit https zabezpeceni.
|
||
peta Profil |
#8 · Zasláno: 2. 9. 2008, 13:49:44
tuzticzka
Ja bych to resil tez pres https nebo session['ip']. Jeste by se mozna dalo pouzit .htaccess, napojeni na PH si ted nevzpomenu, jak se to tam jmenuje. Dalsi komplikace je zbytecna prace navic. Pripadne se da pouzit predsifrovani javascritem (LOS pajhome) s posilanim unikatniho cisla pro kazdou stranku ulozeneho treba do session. Ale stejne ti to prilis nepomuze pri odchyceni relace. Problem je, ze sifrovaci algoritmus u JS mas znamy a pruhledny, tudiz nezabezpeceny. |
||
souki Profil |
#9 · Zasláno: 2. 9. 2008, 13:51:28
peta
šifrování nen založené na tom, že nikdo nezná algoritmus |
||
peta Profil |
#10 · Zasláno: 2. 9. 2008, 15:25:53
souki
Myslel jsem to spis tak, ze jestlize v MD5 v JS neco vygeneruje, tak tam ma cely algoritmus. Takze pokud nekdo bude chtit zakodovane heslo desifrovat, tak to muze zpetne zkouset. Urcite kolizi do 12 znaku nebude zas tolik sedet s md5. V pripade wifi a odchyceni transakce je stejne v haji, to se hnedka na stejny md5 prihlasi nekdo jiny. Tomu jde zabranit pouze pri logovani pridani nahodneho cisla phpckem a to je pak pouzito pro generovani md5. Jenze toto cislo je treba do stranky nekde ulozit. Asi by to slo, ze by pri odchceni transakce prihlaseni se musel prihlasit tesne pred uzivatelem, tim se zmeni nahodne cislo v session a uzivatel je pak v haji. Cili leda zablokovat prenos mezi uzivatelem a serverem hnedka pri zjisteni stahovani logovaci stranky. jak dostane cislo a odesle, tak se to nesmi dostat k serveru. |
||
souki Profil |
#11 · Zasláno: 2. 9. 2008, 15:42:44
peta
ne, to nepůjde tuzticzka zkrátka nevymýšlej kolo a přejdi někam, kde je https, pokud tak nutně potřebuješ zabezpečit přenos |
||
Časová prodleva: 16 let
|
0