Autor Zpráva
23k
Profil
Mam za ukol zdanlive trivialni vec z hlediska programovani , ale z hlediska bezpecnosti je to pro mne velkou neznamou, prosim proto o Vasi radu.


Bude se jednat o standardni formular, kde klient zada Jmeno , bydliste, vek ... Nic vic.
Data se budou ukladat do databaze.

Nicmene kolega si zada data posilat pres HTTPS. Ja o tom nic moc nevim, vim pouze ze se jedna o sifrovany http protokol.
Nevim jak z hlediska bezpecnosti, ale myslim si, resp. domnivam se, pokud dobre osetrim VSTUP DAT do DB , tak zadne riziko nehrozi ( tam kam se maji zadat cisla, tam se skutecne budou zadavat cisla, a tam kde ma byt textovy rezetec, tam osetrit proti nebezpecnym znakumm .. speciálně HTML tagy, uvozovky a jiné.)

Takze bych byl rad za Vas nazor, zda-li me domněnka je spravna ci nikoliv.
habendorf
Profil
Já myslím že to chápeš špatně. Ty jsi zabezpečil vstupní data, to je fajn, ale to nemá s https IMHO nic společného. Https podle mě slouží k zabezpečení dat při přenosu - aby třeba někdo (třetí strana) ty data nemohl "odchytávat".
Jinými slovy - ty jsi zabezpečil aplikaci, kolega chce zabezpečit přenos. Otázkou samozřejmě je, zda je to nutné, o jak citlivá data jde (podle mě to zde nutné není). Ten protokol na to nabaluje další vrstvy, takže režie přenosu roste (prostě je to pomalejší).
weckho
Profil
Přesně tak.
Nai Dzet Quiv
Profil
HTTPS je naprosto zbytečné pro přenos těchto dat.
23k
Profil
Dobros, dam si tedy bacha abych to radne zabezpecil (vstup) a HTTPS mu vyvratim. DIKY
DoubleThink
Profil *
prostě je to pomalejší

v řádech sekund == zanedbatelně

HTTPS je naprosto zbytečné pro přenos těchto dat.

Když jsem v serverovně viděl, jak snadno lze číst tekoucí HTTP data, tak mi běhal mráz po zádech - hesla, důvěrné informace, adresy - všechno v plain textu - nepotřebuješ na to ani zvláštní program. (Na koax síti není potřeba ani chodit do serverovny).

Jistěže záleží na míře citlivosti dat - je nesmysl SSL valit všude (hlavně kvůli Cache a Proxy serverům, které tuto komunikaci neindexují - ani nemůžou).

Ale někdy je SSL docela na místě.
Pepee
Profil
Mám podobnej problém stránky s veřejnou a neveřejnou částí. Potřebuju zajistit i přenos, protože to běhá i přes proxy na podnikovej intranet a docela nerad bych, aby se nějakej trotl správcovskej bavil "čtením" neveřejných dat. Dá se někde najít nějakej tutoriál jak na to v PHP ...sem v tomhle oboru tak trochu lama..
Dík
llook
Profil
Tohle není ani tak záležitost PHP. Spíš hledej v dokumentaci k Apache: http://httpd.apache.org/docs-2.0/ssl/ a http://httpd.apache.org/docs-2.0/mod/mod_ssl.html
Pepee
Profil
...aha špatně jsem se asi vyjádřil. Nepotřebuju nakonfigurovat server nebo tak, potřebuju do stránek v php nějak nacpat ochranu dat pomocí ssl aby byla nečitelná po cestě od klienta k serveru. Nevím jestli je na to v php nějaká funkce, nebo tak.
printf
Profil
Vzhledem k tomu, že PHP běží na serveru, tak nechápu, jak by se jím dal zabezpečit přenos dat ze strany klienta, či jak by "ochráněná" data klient přečetl. Muselo by jít o nějakou vtipnou kombinaci JavaScriptu a PHP, myslím že https je mnohem lepší...
DoubleThink
Profil *
Nevím jestli je na to v php nějaká funkce, nebo tak.

Data posílá server - nikoliv PHP

Mohl bys nějak šifrovat data pomocí PHP, ale k čemu by to bylo dobré? - klient by si s tím neporadil.
Server stejně musí poslat klientovi šifrovací certifikát.
thingwath
Profil
DoubleThink

A jak snadno lze číst poštu (SMTP, POP3 -- všechno jednoduché protokoly, data posílaná textově), číst hesla všeho možného (FTP - sranda, POP3 - sranda, cokoliv z HTTP...), nemluvě o telnetu a dalších dvaceti věcech co nejspíš běžně používáte... Jediné co je třeba je být mezi. Naštěstí to zrovna taková sranda není.

Je třeba dávat bacha a při odesílání nějakých dat do internetu se ujistit o bezpečnosti přenosu, zejména pokud vám na nich záleží.
printf
Profil
Jeden související dotaz:
pokud obsah formuláře (action=) posílám z http://... na https://..., budou jeho data už šifrovaná, nebo se ještě přenesou nezabespečeně?
Martin Kuželka
Profil
printf: myslím, že budou nezabezpečená.
DoubleThink
Profil *
Přesně tak
krteczek
Profil
navíc ty data nedojdou při přechodu z http na https se někde ztratí. pokud něco chcete dělat tak nejprve přejděte na https, a potom předávejte data.
Jsem se snažil udělat přihlášení a nejprve jsem se přihlásil pomocí http autentifikace a až potom jsem startoval https, a strašně jsem se divil jakto že se musím přihlašovat znovu... Takže nejprve otevřete https přenos a potom se logujte atd.
krteczek
Anonymní
Profil *
krteczek
data se neztratí, pokud se správně pošlou (vyzkoušeno)
Toto téma je uzamčeno. Odpověď nelze zaslat.