Re: подскажите начина ющему php-программисту 2
06.08.2010 18:23, Владимир Бажанов пишет: > Пишем страничку авторизации для пентагона? :) > > Пентагон совсем непричем. Для некоторых видов деятельности существуют определенные правила и их несоблюдение наказуемо и в некоторых случаях очень жестко. -- /Regards, Sergey Poulikov/ -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
06.08.2010 18:09, Ivan Surzhenko пишет: > 6 августа 2010 г. 16:43 пользователь Sergey Poulikov > написал: > >> злоумышленник не будет перехватывать и отправлять все это дело в ручную. >> с клиента посылается уже сфоримрованный хеш с примесью salt и если >> перехватить этот уже сформированный хеш, и отправить серверу то получим >> пользовательскую сессию, вся эта операция может осуществляться программно и >> занимать доли секунды. >> > Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на > 18 (резьба метрическая), так как пользователь уже отправлял запрос > авторизации в рамках данной сессии с данной солью. И вообще такую > ситуацию надо как-то отлавливать и анально наказывать подсовывающего > хеши. > > ненадежно, запросы могут придти почти одновременно, а если лочить обработку то это совсем будет узким горлышком в плане производительности. А вот наказывать надо всех злоумышленников да только не всегда это возможно. >> salt не защищает от перехвата данных, для безопасного обмена данными надо >> использовать https он именно для этого и создан. >> > Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш > сервер в состоянии выдержать прирост нагрузки из-за постоянного > шифрования/дешифрования (кстати, насколько велик этот прирост?), то да > - проще гонять по https. > > Мы защищаем доступ. Пароль не нужен если можно получить сессию не зная пароля. Если есть возможность перехватить данные во время авторизации, то есть возможность получить доступ. Шифровать все данные и уж тем более постоянно не обязательно. -- /Regards, Sergey Poulikov/ -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
06.08.2010 16:52, maxyer пишет: > 06.08.2010 19:07, Ivan Surzhenko пишет: > >> В данном случае можно получать от сервера "соль" и считать >> md5(соль+md5(пароль)) >> > Сорри, что-то я не понял ;( > Что за соль такая ? > И где "считать md5(соль+md5(пароль))" ? > На стороне клиента ? > > если формирование хеша происходит на стороне клиента, то при перехвате не имеет никакого значения хеш ли это или пароль. так как перехвачена будет именно та комбинация символов которой достаточно для того чтобы авторизоваться. если же нужна безопасная передача данных, то следует использовать https -- /Regards, Sergey Poulikov/ -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
06.08.2010 16:47, maxyer пишет: >>> Можно ли сделать для пущей надежности, чтобы pass уже на сервер >>> отправлялся не в открытом виде, а в зашифрованном ? >>> Чтобы по пути не перехватил кто-нибудь ;) >>> >>> >>> >> https? >> > Возможно ... > К сожалению все, что я знаю о https, это то, что это защищенный протокол > http. > Я понимаю, что это обширная тема, которую в письме не раскроешь, поэтому > посоветуйте, что почитать по поводу того, как этот https использовать и > наверное надо что-то сделать с моим http-сервером, чтобы он с ним работал. > > http://httpd.apache.org/docs/current/mod/mod_ssl.html http://www.modssl.org/ ну и google://apache+mod_ssl -- /Regards, Sergey Poulikov/ -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
06.08.2010 19:07, Ivan Surzhenko пишет: > В данном случае можно получать от сервера "соль" и считать > md5(соль+md5(пароль)) Сорри, что-то я не понял ;( Что за соль такая ? И где "считать md5(соль+md5(пароль))" ? На стороне клиента ? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
06.08.2010 18:12, ASLok пишет: > Т.е. шифровать, соединение или пароль? Если пароль, яваскриптом что ли? ) А в JavaScript нет функций шифрования типа md5 или sha1 ? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
>> Можно ли сделать для пущей надежности, чтобы pass уже на сервер >> отправлялся не в открытом виде, а в зашифрованном ? >> Чтобы по пути не перехватил кто-нибудь ;) >> >> > https? Возможно ... К сожалению все, что я знаю о https, это то, что это защищенный протокол http. Я понимаю, что это обширная тема, которую в письме не раскроешь, поэтому посоветуйте, что почитать по поводу того, как этот https использовать и наверное надо что-то сделать с моим http-сервером, чтобы он с ним работал. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
06.08.2010 15:24, Сергей Блохин пишет: > Ломанул я вашу базу, знаю ваш хеш. Мне достаточно будет его в таком случае > просто передать authorize.php. > зачем? зачем передавать authorize.php? если вы уже ломанули базу, что еще вы хотите оттуда извлечь, или вам принципиально авторизоваться надо? :) -- /Regards, Sergey Poulikov/ -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
06.08.2010 14:58, maxyer пишет: > В продолжение начатой темы ;) > Ну допустим написал я нечто подобное > > > > > > > По поводу authorize.php все ясно. > А теперь вопрос. > Можно ли сделать для пущей надежности, чтобы pass уже на сервер > отправлялся не в открытом виде, а в зашифрованном ? > Чтобы по пути не перехватил кто-нибудь ;) > > https? -- /Regards, Sergey Poulikov/ -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начина ющему php-программисту 2
В продолжение начатой темы ;) Ну допустим написал я нечто подобное По поводу authorize.php все ясно. А теперь вопрос. Можно ли сделать для пущей надежности, чтобы pass уже на сервер отправлялся не в открытом виде, а в зашифрованном ? Чтобы по пути не перехватил кто-нибудь ;) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
