Autor | Zpráva | ||
---|---|---|---|
Lileo Profil * |
#1 · Zasláno: 30. 6. 2011, 21:19:22
Ahoj, mam dotaz ohldědně zabezpečení odesilaných dat, především login,password. Jak to nejlepe zabezpečit.
HTTPS mi přijde celkem zvlaštni. Jestliže se někdo připoji na moji stranku ne přes HTTPS ale normalnim HTTP protokolem tak svoje heslo odešle nezabezpečeně, což u některých uživatelu kteří to neznají může byt problem. Pak mě napadlo přesměrováni na tento protokol ale to už mi přijde neprakticke. Spiš by mě zajimalo jake zabezpečení jiné použit? A jak ho nejlepe aplikovat. V bezpečnosti stránkach jsem uplny novaček takže moc nevim. Když se tak divam tak se hodně připojuji pomoci HTTP už jen třeba na Seznam nebo Facebook. Jake použivaji oni zabezpečeni? HTTPS bude asi jen navic ale nějake hlavni zabezpečení tam jiné asi bude ne?:) |
||
Darker Profil |
#2 · Zasláno: 30. 6. 2011, 21:27:44
Viděl jsem stránky, kde se heslo hashovalo dvakrát - jednou při odesílání a jednou v DB.
|
||
Lileo Profil * |
#3 · Zasláno: 30. 6. 2011, 21:33:46
no dobře ale kdy přesně se heslo má hasovat? U klienta před odeslanim?
Napřiklad mě napada použiti před odeslanim md5 a do databaze md5 s sha1. Takže prakticky to musím hashovat přes javascript ne? |
||
Alphard Profil |
#4 · Zasláno: 30. 6. 2011, 21:37:24 · Upravil/a: Alphard
Jestli jste úplný začátečník, asi netvoříte kritickou aplikaci :-) Běžně se útok Man in the middle neřeší a keylogger většinou neřešní ani bankovnictví.
„Pak mě napadlo přesměrováni na tento protokol ale to už mi přijde neprakticke.“ Google to tak dělá, nic moc nepraktického na tom není, prostě minimálně přihlašovací stránka existuje jen s https a přesměrovává se. Alternativa je hashovat pomocí javascriptu, jak píší kolegové. Lze např. stáhnout hotové funkce, který vytvoří md5 otisk. Pak samozřejmě existuje hromada útoků, které zneuživají již přihlášeného uživatele, který to ani neví, např. CSRF, na webu myslím mnohem častější. Nebo obligátní sql injection. |
||
Lileo Profil * |
#5 · Zasláno: 30. 6. 2011, 21:52:04
Alphard:
ok, tak na takové to základní zabezpečení stačí hash na serveru? popřípadě je dobré použit dvojitý hash? md5(sha1("heslo")) Ale diky za odpověd:) |
||
Darker Profil |
#6 · Zasláno: 30. 6. 2011, 22:06:54
Lileo:
Ne dvojitý hash je humáč. Sha1 je sám o sobě bezpečný, ale pokud ti to nestačí můžeš použít "salt". Definuješ si tajné slovo (může to být přeba den registrace) které ale musí být neměnné, pro jednoho uživatele. Pak: $heslo=sha1($salt.$heslo); /***nebo***/ $heslo=sha1($salt.sha1($heslo)); Na to hashování javascriptem funkci někde mám. |
||
Lileo Profil * |
#7 · Zasláno: 30. 6. 2011, 22:14:39
ok diky:)
|
||
Časová prodleva: 13 let
|
0