06.08.2010 18:09, Ivan Surzhenko пишет: > 6 августа 2010 г. 16:43 пользователь Sergey Poulikov > <script...@gmail.com> написал: > >> злоумышленник не будет перехватывать и отправлять все это дело в ручную. >> с клиента посылается уже сфоримрованный хеш с примесью salt и если >> перехватить этот уже сформированный хеш, и отправить серверу то получим >> пользовательскую сессию, вся эта операция может осуществляться программно и >> занимать доли секунды. >> > Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на > 18 (резьба метрическая), так как пользователь уже отправлял запрос > авторизации в рамках данной сессии с данной солью. И вообще такую > ситуацию надо как-то отлавливать и анально наказывать подсовывающего > хеши. > > ненадежно, запросы могут придти почти одновременно, а если лочить обработку то это совсем будет узким горлышком в плане производительности. А вот наказывать надо всех злоумышленников да только не всегда это возможно. >> salt не защищает от перехвата данных, для безопасного обмена данными надо >> использовать https он именно для этого и создан. >> > Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш > сервер в состоянии выдержать прирост нагрузки из-за постоянного > шифрования/дешифрования (кстати, насколько велик этот прирост?), то да > - проще гонять по https. > > Мы защищаем доступ. Пароль не нужен если можно получить сессию не зная пароля. Если есть возможность перехватить данные во время авторизации, то есть возможность получить доступ. Шифровать все данные и уж тем более постоянно не обязательно.
-- /Regards, Sergey Poulikov/
-- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru