Re: подскажите начинающему php- программисту 2
Можно ли сделать для пущей надежности, чтобы pass уже на сервер отправлялся не в открытом виде, а в зашифрованном ? Чтобы по пути не перехватил кто-нибудь ;) Т.е. шифровать, соединение или пароль? Если пароль, яваскриптом что ли? ) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Ломанул я вашу базу, знаю ваш хеш. Мне достаточно будет его в таком случае просто передать authorize.php. Не секьюрно оно как-то. 06.08.2010, 14:58, maxyer max...@mail.ru: В продолжение начатой темы ;) Ну допустим написал я нечто подобное form method=post action=authorize.php input type=text name=login input type=password name=pass input type=submit value=OK /form По поводу authorize.php все ясно. А теперь вопрос. Можно ли сделать для пущей надежности, чтобы pass уже на сервер отправлялся не в открытом виде, а в зашифрованном ? Чтобы по пути не перехватил кто-нибудь ;) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
В данном случае можно получать от сервера соль и считать md5(соль+md5(пароль)) потом в скрипте авторизации берем сохраненную в базе md5(пароль), добавляем к ней нашу соль и считаем md5 от полученного. Результат сравниваем с тем, что пришло от клиента. Соль желательно периодически менять... например, случайно генерировать для каждой сессии -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 15:52 пользователь maxyer max...@mail.ru написал: 06.08.2010 19:07, Ivan Surzhenko пишет: В данном случае можно получать от сервера соль и считать md5(соль+md5(пароль)) Сорри, что-то я не понял ;( Что за соль такая ? Избыточная информация, которая не дает расшифровать/подобрать значение (даже подбором по хеш-таблицам). И где считать md5(соль+md5(пароль)) ? На стороне клиента ? На клиенте вы имеете пароль. 1. Получаете с сервера соль. 2. Шифруете пароль по md5. 3. Добавляете к хешу соль. 4. От того, что получили на этапе №3 берете еще раз md5 5. Отправляете результат пункта №5 на сервер. На сервере у вас в базе хранится хеш от пароля. 1. Вы берете соль (ту, что отправляли клиенту) и прибавляете ее к значению из базы данных. 2. берете от всего этого добра md5. 3. Результат пункта 2 сравниваете с тем, что пришло с клиента Фишка в том, что переданный с клиента на сервер хеш ничего не дает злоумышленнику :) Он не сможет войти с тем же хешом, если для каждой сессии (или просто часто) создается новая соль :) -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 16:43 пользователь Sergey Poulikov script...@gmail.com написал: злоумышленник не будет перехватывать и отправлять все это дело в ручную. с клиента посылается уже сфоримрованный хеш с примесью salt и если перехватить этот уже сформированный хеш, и отправить серверу то получим пользовательскую сессию, вся эта операция может осуществляться программно и занимать доли секунды. Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на 18 (резьба метрическая), так как пользователь уже отправлял запрос авторизации в рамках данной сессии с данной солью. И вообще такую ситуацию надо как-то отлавливать и анально наказывать подсовывающего хеши. salt не защищает от перехвата данных, для безопасного обмена данными надо использовать https он именно для этого и создан. Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш сервер в состоянии выдержать прирост нагрузки из-за постоянного шифрования/дешифрования (кстати, насколько велик этот прирост?), то да - проще гонять по https. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Пишем страничку авторизации для пентагона? :) В Птн, 06/08/2010 в 17:09 +0300, Ivan Surzhenko пишет: 6 августа 2010 г. 16:43 пользователь Sergey Poulikov script...@gmail.com написал: злоумышленник не будет перехватывать и отправлять все это дело в ручную. с клиента посылается уже сфоримрованный хеш с примесью salt и если перехватить этот уже сформированный хеш, и отправить серверу то получим пользовательскую сессию, вся эта операция может осуществляться программно и занимать доли секунды. Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на 18 (резьба метрическая), так как пользователь уже отправлял запрос авторизации в рамках данной сессии с данной солью. И вообще такую ситуацию надо как-то отлавливать и анально наказывать подсовывающего хеши. salt не защищает от перехвата данных, для безопасного обмена данными надо использовать https он именно для этого и создан. Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш сервер в состоянии выдержать прирост нагрузки из-за постоянного шифрования/дешифрования (кстати, насколько велик этот прирост?), то да - проще гонять по https. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 17:23 пользователь Владимир Бажанов a...@ukrpost.net написал: Пишем страничку авторизации для пентагона? :) А у них уже есть http://pentagon.in.ua/index.php?do=login -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
2010/8/6 Sergey Poulikov script...@gmail.com: Шифровать все данные и уж тем более постоянно не обязательно. Да, именно так и делают все нормальные сервисы - показывают форму авторизации и принимают данные формы авторизации по https, после чего честно продолжают работать по http без всякого шифрования, т.к. дальше оно не нужно. -- Serge Matveenko jabber:se...@matveenko.ru microblog:http://identi.ca/lig profile:http://ru.linkedin.com/in/sergematveenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
