Autor | Zpráva | ||
---|---|---|---|
23k Profil |
#1 · Zasláno: 30. 5. 2005, 17:30:59
Mam za ukol zdanlive trivialni vec z hlediska programovani , ale z hlediska bezpecnosti je to pro mne velkou neznamou, prosim proto o Vasi radu.
Bude se jednat o standardni formular, kde klient zada Jmeno , bydliste, vek ... Nic vic. Data se budou ukladat do databaze. Nicmene kolega si zada data posilat pres HTTPS. Ja o tom nic moc nevim, vim pouze ze se jedna o sifrovany http protokol. Nevim jak z hlediska bezpecnosti, ale myslim si, resp. domnivam se, pokud dobre osetrim VSTUP DAT do DB , tak zadne riziko nehrozi ( tam kam se maji zadat cisla, tam se skutecne budou zadavat cisla, a tam kde ma byt textovy rezetec, tam osetrit proti nebezpecnym znakumm .. speciálně HTML tagy, uvozovky a jiné.) Takze bych byl rad za Vas nazor, zda-li me domněnka je spravna ci nikoliv. |
||
habendorf Profil |
#2 · Zasláno: 30. 5. 2005, 17:34:33 · Upravil/a: habendorf
Já myslím že to chápeš špatně. Ty jsi zabezpečil vstupní data, to je fajn, ale to nemá s https IMHO nic společného. Https podle mě slouží k zabezpečení dat při přenosu - aby třeba někdo (třetí strana) ty data nemohl "odchytávat".
Jinými slovy - ty jsi zabezpečil aplikaci, kolega chce zabezpečit přenos. Otázkou samozřejmě je, zda je to nutné, o jak citlivá data jde (podle mě to zde nutné není). Ten protokol na to nabaluje další vrstvy, takže režie přenosu roste (prostě je to pomalejší). |
||
weckho Profil |
#3 · Zasláno: 30. 5. 2005, 19:49:24
Přesně tak.
|
||
Nai Dzet Quiv Profil |
#4 · Zasláno: 30. 5. 2005, 19:51:51
HTTPS je naprosto zbytečné pro přenos těchto dat.
|
||
23k Profil |
#5 · Zasláno: 30. 5. 2005, 20:14:21
Dobros, dam si tedy bacha abych to radne zabezpecil (vstup) a HTTPS mu vyvratim. DIKY
|
||
DoubleThink Profil * |
#6 · Zasláno: 30. 5. 2005, 20:30:30
prostě je to pomalejší
v řádech sekund == zanedbatelně HTTPS je naprosto zbytečné pro přenos těchto dat. Když jsem v serverovně viděl, jak snadno lze číst tekoucí HTTP data, tak mi běhal mráz po zádech - hesla, důvěrné informace, adresy - všechno v plain textu - nepotřebuješ na to ani zvláštní program. (Na koax síti není potřeba ani chodit do serverovny). Jistěže záleží na míře citlivosti dat - je nesmysl SSL valit všude (hlavně kvůli Cache a Proxy serverům, které tuto komunikaci neindexují - ani nemůžou). Ale někdy je SSL docela na místě. |
||
Pepee Profil |
#7 · Zasláno: 31. 5. 2005, 12:07:05 · Upravil/a: Pepee
Mám podobnej problém stránky s veřejnou a neveřejnou částí. Potřebuju zajistit i přenos, protože to běhá i přes proxy na podnikovej intranet a docela nerad bych, aby se nějakej trotl správcovskej bavil "čtením" neveřejných dat. Dá se někde najít nějakej tutoriál jak na to v PHP ...sem v tomhle oboru tak trochu lama..
Dík |
||
llook Profil |
#8 · Zasláno: 31. 5. 2005, 13:41:20
Tohle není ani tak záležitost PHP. Spíš hledej v dokumentaci k Apache: http://httpd.apache.org/docs-2.0/ssl/ a http://httpd.apache.org/docs-2.0/mod/mod_ssl.html
|
||
Pepee Profil |
#9 · Zasláno: 31. 5. 2005, 13:54:27 · Upravil/a: Pepee
...aha špatně jsem se asi vyjádřil. Nepotřebuju nakonfigurovat server nebo tak, potřebuju do stránek v php nějak nacpat ochranu dat pomocí ssl aby byla nečitelná po cestě od klienta k serveru. Nevím jestli je na to v php nějaká funkce, nebo tak.
|
||
printf Profil |
#10 · Zasláno: 31. 5. 2005, 18:16:28
Vzhledem k tomu, že PHP běží na serveru, tak nechápu, jak by se jím dal zabezpečit přenos dat ze strany klienta, či jak by "ochráněná" data klient přečetl. Muselo by jít o nějakou vtipnou kombinaci JavaScriptu a PHP, myslím že https je mnohem lepší...
|
||
DoubleThink Profil * |
#11 · Zasláno: 31. 5. 2005, 21:41:39
Nevím jestli je na to v php nějaká funkce, nebo tak.
Data posílá server - nikoliv PHP Mohl bys nějak šifrovat data pomocí PHP, ale k čemu by to bylo dobré? - klient by si s tím neporadil. Server stejně musí poslat klientovi šifrovací certifikát. |
||
thingwath Profil |
#12 · Zasláno: 31. 5. 2005, 22:10:45
DoubleThink
A jak snadno lze číst poštu (SMTP, POP3 -- všechno jednoduché protokoly, data posílaná textově), číst hesla všeho možného (FTP - sranda, POP3 - sranda, cokoliv z HTTP...), nemluvě o telnetu a dalších dvaceti věcech co nejspíš běžně používáte... Jediné co je třeba je být mezi. Naštěstí to zrovna taková sranda není. Je třeba dávat bacha a při odesílání nějakých dat do internetu se ujistit o bezpečnosti přenosu, zejména pokud vám na nich záleží. |
||
Časová prodleva: 3 dny
|
|||
printf Profil |
#13 · Zasláno: 3. 6. 2005, 19:47:43
Jeden související dotaz:
pokud obsah formuláře (action=) posílám z http://... na https://..., budou jeho data už šifrovaná, nebo se ještě přenesou nezabespečeně? |
||
Martin Kuželka Profil |
#14 · Zasláno: 3. 6. 2005, 20:01:26 · Upravil/a: Martin Kuželka
printf: myslím, že budou nezabezpečená.
|
||
DoubleThink Profil * |
#15 · Zasláno: 3. 6. 2005, 20:12:15
Přesně tak
|
||
krteczek Profil |
#16 · Zasláno: 4. 6. 2005, 03:35:19
navíc ty data nedojdou při přechodu z http na https se někde ztratí. pokud něco chcete dělat tak nejprve přejděte na https, a potom předávejte data.
Jsem se snažil udělat přihlášení a nejprve jsem se přihlásil pomocí http autentifikace a až potom jsem startoval https, a strašně jsem se divil jakto že se musím přihlašovat znovu... Takže nejprve otevřete https přenos a potom se logujte atd. krteczek |
||
Anonymní Profil * |
#17 · Zasláno: 4. 6. 2005, 14:35:34
krteczek
data se neztratí, pokud se správně pošlou (vyzkoušeno) |
||
Časová prodleva: 19 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0