Re: подскажите начинающему php- программисту 2
2010/8/6 Sergey Poulikov : > Шифровать все данные и уж тем более постоянно не обязательно. Да, именно так и делают все нормальные сервисы - показывают форму авторизации и принимают данные формы авторизации по https, после чего честно продолжают работать по http без всякого шифрования, т.к. дальше оно не нужно. -- Serge Matveenko jabber:se...@matveenko.ru microblog:http://identi.ca/lig profile:http://ru.linkedin.com/in/sergematveenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 17:23 пользователь Владимир Бажанов написал: > Пишем страничку авторизации для пентагона? :) А у них уже есть http://pentagon.in.ua/index.php?do=login -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Пишем страничку авторизации для пентагона? :) В Птн, 06/08/2010 в 17:09 +0300, Ivan Surzhenko пишет: > 6 августа 2010 г. 16:43 пользователь Sergey Poulikov > написал: > > злоумышленник не будет перехватывать и отправлять все это дело в ручную. > > с клиента посылается уже сфоримрованный хеш с примесью salt и если > > перехватить этот уже сформированный хеш, и отправить серверу то получим > > пользовательскую сессию, вся эта операция может осуществляться программно и > > занимать доли секунды. > Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на > 18 (резьба метрическая), так как пользователь уже отправлял запрос > авторизации в рамках данной сессии с данной солью. И вообще такую > ситуацию надо как-то отлавливать и анально наказывать подсовывающего > хеши. > > > salt не защищает от перехвата данных, для безопасного обмена данными надо > > использовать https он именно для этого и создан. > Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш > сервер в состоянии выдержать прирост нагрузки из-за постоянного > шифрования/дешифрования (кстати, насколько велик этот прирост?), то да > - проще гонять по https. > > -- > > With best regards, > Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 16:43 пользователь Sergey Poulikov написал: > злоумышленник не будет перехватывать и отправлять все это дело в ручную. > с клиента посылается уже сфоримрованный хеш с примесью salt и если > перехватить этот уже сформированный хеш, и отправить серверу то получим > пользовательскую сессию, вся эта операция может осуществляться программно и > занимать доли секунды. Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на 18 (резьба метрическая), так как пользователь уже отправлял запрос авторизации в рамках данной сессии с данной солью. И вообще такую ситуацию надо как-то отлавливать и анально наказывать подсовывающего хеши. > salt не защищает от перехвата данных, для безопасного обмена данными надо > использовать https он именно для этого и создан. Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш сервер в состоянии выдержать прирост нагрузки из-за постоянного шифрования/дешифрования (кстати, насколько велик этот прирост?), то да - проще гонять по https. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 15:52 пользователь maxyer написал: > 06.08.2010 19:07, Ivan Surzhenko пишет: >> В данном случае можно получать от сервера "соль" и считать >> md5(соль+md5(пароль)) > Сорри, что-то я не понял ;( > Что за соль такая ? Избыточная информация, которая не дает расшифровать/подобрать значение (даже подбором по хеш-таблицам). > И где "считать md5(соль+md5(пароль))" ? > На стороне клиента ? На клиенте вы имеете пароль. 1. Получаете с сервера соль. 2. Шифруете пароль по md5. 3. Добавляете к хешу соль. 4. От того, что получили на этапе №3 берете еще раз md5 5. Отправляете результат пункта №5 на сервер. На сервере у вас в базе хранится хеш от пароля. 1. Вы берете соль (ту, что отправляли клиенту) и прибавляете ее к значению из базы данных. 2. берете от всего этого добра md5. 3. Результат пункта 2 сравниваете с тем, что пришло с клиента Фишка в том, что переданный с клиента на сервер хеш ничего не дает злоумышленнику :) Он не сможет войти с тем же хешом, если для каждой сессии (или просто часто) создается новая соль :) -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
В данном случае можно получать от сервера "соль" и считать md5(соль+md5(пароль)) потом в скрипте авторизации берем сохраненную в базе md5(пароль), добавляем к ней нашу соль и считаем md5 от полученного. Результат сравниваем с тем, что пришло от клиента. Соль желательно периодически менять... например, случайно генерировать для каждой сессии -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Ломанул я вашу базу, знаю ваш хеш. Мне достаточно будет его в таком случае просто передать authorize.php. Не секьюрно оно как-то. 06.08.2010, 14:58, "maxyer" : > В продолжение начатой темы ;) > Ну допустим написал я нечто подобное > > > > > > > По поводу authorize.php все ясно. > А теперь вопрос. > Можно ли сделать для пущей надежности, чтобы pass уже на сервер > отправлялся не в открытом виде, а в зашифрованном ? > Чтобы по пути не перехватил кто-нибудь ;) > > -- > ubuntu-ru mailing list > ubuntu-ru@lists.ubuntu.com > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
> Можно ли сделать для пущей надежности, чтобы pass уже на сервер > отправлялся не в открытом виде, а в зашифрованном ? > Чтобы по пути не перехватил кто-нибудь ;) Т.е. шифровать, соединение или пароль? Если пароль, яваскриптом что ли? ) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru