Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
Выбор самого безопастного способа авторизации на портале |
28.08.2007, 15:14
|
|
Участник форума
Регистрация: 04.01.2007
Сообщений: 112
Провел на форуме:
179531
Репутация:
48
|
|
Выбор самого безопастного способа авторизации на портале
При написании системы защиты для нашего движка я с напарником столкнулся в таком вопросе что будет безопаснее:
- авторизация используя протоком SSL
- авторизация используя следующий скрипт (код скрипта приведен ниже в урезанном виде)
//admin.php
PHP код:
<script src="jquery.js" type="text/javascript"></script>
<script src="md5.js" type="text/javascript"></script>
<script>
function chek(login, passw){
$("#body").load("passwd.php",{user:md5(login) ,passwd:md5(passw)});
}
</script>
<div id="body">
<form method="POST" enctype="text/plain">
<input type="text" id="user" name="user" value="test" /><br>
<input type="password" id="pass" name="pass" value="test2" /><br>
<input type="button" value="Проверка2" onclick='chek($("#user").attr("value"), $("#pass").attr("value"));' />
</form>
</div>
//passwd.php
PHP код:
<?
if (isset($_SERVER['HTTP_REFERER']) && $_SERVER['HTTP_REFERER'] == 'http://server/test.php'){
//Тут идет обработка данных
}else{
print "Haking alert!";
}
?>
И если кто заметит изъян безопастности скрипта посоветуйте?! |
|
|
28.08.2007, 15:20
|
|
Познавший АНТИЧАТ
Регистрация: 12.05.2007
Сообщений: 1,235
Провел на форуме:
2238549
Репутация:
1318
|
|
Ну в принципе через JavaScript вариант тоже безопасный, т.к. передаются хеши вместо значений... Но всё равно проснифав трафик, злоумышленник будет располагать хешами которые передаются на сервер, наверняка найдётся такая пара логин/пароль, которая подойдёт к аккаунту какого-то нерадивого пользователя. Что касется SSL - то тут хоть до усрачки снифай, ничего о внутреннем содержании канала передачи данных ты не узнаешь... То есть, SSL - верх безопасности... А если вы замутите JavaScript авторизацию через SSL так это вообще чума будет...
Последний раз редактировалось groundhog; 28.08.2007 в 15:22..
|
|
|
|
28.08.2007, 16:35
|
|
Умиротворенн
Регистрация: 09.12.2004
Сообщений: 996
Провел на форуме:
2386719
Репутация:
1384
|
|
как можно вообще сравнивать протокол SSL и проверку паролей на JS?????? это обсалютно разные вещи.
А если интересует вопрос безопасности, то стоит организовать процесс передачи хэшей пароля посредством ssl, а далее можно, впринципе, получив сессию привязаную к пользователю его ip и т.д. работать по простому http.
__________________
http://madnet.name - madnet - blog | homepage (Мысли, релизы, скрипты, софт)
http://antichat.ru - Лучший сайт по безопасности
irc.antichat.ru:7771 #antichat - общение online
ГАРАНТ ФОРУМА
|
|
|
|
28.08.2007, 17:09
|
|
Познавший АНТИЧАТ
Регистрация: 07.01.2007
Сообщений: 1,263
Провел на форуме:
3326855
Репутация:
702
|
|
А как это всё на Php сделать? Хочу сделать на сайте возможность регистрации юзеров, для того, чтобы юзеры могли настраивать сайт под свои нужды.
|
|
|
|
28.08.2007, 17:24
|
|
Познающий
Регистрация: 15.12.2006
Сообщений: 31
Провел на форуме:
580474
Репутация:
26
|
|
SSL луче конечн но возни с ним та и дороговато будет
Вроде как только крутые раскрученные порталы юзают ссл
а для середнякового сайта и через js пойдет все зависит насколько конфиденциальны данные
|
|
|
|
28.08.2007, 17:27
|
|
Участник форума
Регистрация: 24.07.2007
Сообщений: 138
Провел на форуме:
165671
Репутация:
215
|
|
Как можно передавать хэши паролей вместо самих паролей? Это не шифрование данных, потому что серверный обработчик получает ХЭШ, а не ПАРОЛЬ. А это значит, что система не только не защищает вас от прослушки трафика (т.к. в этом случае авторизация не через пароль, а через его хэш), но еще и разрушает основную концепцию безопасности авторизации в системах ограниченного доступа, т.к., имея доступ к базе данных, злоумышленник уже имеет фактически ПАРОЛЬ, а не ХЭШ и может в этих самых системах авторизовываться по нему (если вы конечно не храните в базе данных хэш от хэша, что вообщем никаким образом не умоляет бредовости идеи передавать вместо пароля его md5 отпечаток).
SSL или самодельная шифрация (можно с помощью яваскрипт, но в этом случае вас ничто не страхует перед хакером, если он случайно найдет алгоритм шифрации в яваскрипт (а он это сделает, зная страницу авторизации) ), впрочем от целенаправленной просллушки канала на конкретно этот логин/пароль вас вообще ничего не спасет.
|
|
|
|
28.08.2007, 18:55
|
|
Умиротворенн
Регистрация: 09.12.2004
Сообщений: 996
Провел на форуме:
2386719
Репутация:
1384
|
|
Dword, не тупи. Хэш предается вместо пароля лишь для того, что бы сложно было узнать сам пароль, который, коль ты заговорил о КОНЦЕПЦИЯХ БЕЗОПАСНОСТИ, должен быть максимально скрыт и от злоумышлеников и от администрации, в связи с очень частым использованием пользователями одинаковых паролей в разных системах.
по поводу твоего высказывания в адресс Ssl просто нечего сказать....
__________________
http://madnet.name - madnet - blog | homepage (Мысли, релизы, скрипты, софт)
http://antichat.ru - Лучший сайт по безопасности
irc.antichat.ru:7771 #antichat - общение online
ГАРАНТ ФОРУМА
Последний раз редактировалось madnet; 28.08.2007 в 18:59..
|
|
|
|
28.08.2007, 19:25
|
|
Участник форума
Регистрация: 24.07.2007
Сообщений: 138
Провел на форуме:
165671
Репутация:
215
|
|
Dword, не тупи. Хэш предается вместо пароля лишь для того, что бы сложно было узнать сам пароль, который, коль ты заговорил о КОНЦЕПЦИЯХ БЕЗОПАСНОСТИ, должен быть максимально скрыт и от злоумышлеников и от администрации, в связи с очень частым использованием пользователями одинаковых паролей в разных системах.
Бред...
по поводу твоего высказывания в адресс Ssl просто нечего сказать....
А ты попробуй. Если канал прослушивается с целью получить конкретно пароль и логин, то злоумышленник имеет понятие и об организации шифрованного канала и обо всех ключах, которыми обменивается клиент и сервер, или может они ими по воздуу перекидываются?
|
|
|
|
28.08.2007, 19:32
|
|
Участник форума
Регистрация: 24.07.2007
Сообщений: 138
Провел на форуме:
165671
Репутация:
215
|
|
Сообщение от madnet
что именно?
То что пароль заменяется на хэш, нет в этом никакого смысла. Это не шифрация а просто замена одного другим, а если при этом еще и забывать о том, что в базе должен быть хэш пароля, а не он сам и класть туда полученный md5, то это не просто не имеет смысл, но и создает дополнительные угрозы безопасности
Update: madnet удалил свой пост 
|
|
|
|
28.08.2007, 19:36
|
|
Умиротворенн
Регистрация: 09.12.2004
Сообщений: 996
Провел на форуме:
2386719
Репутация:
1384
|
|
Dword, до тебя не доходит для чего в данном случае хэшируются пароли.
>если класть туда полученный md5, то это не просто не имеет смысл, но и создает дополнительные угрозы безопасности
нука нука, интересно чем же здесь опаснее чем простой пароль ложить в БД?
__________________
http://madnet.name - madnet - blog | homepage (Мысли, релизы, скрипты, софт)
http://antichat.ru - Лучший сайт по безопасности
irc.antichat.ru:7771 #antichat - общение online
ГАРАНТ ФОРУМА
Последний раз редактировалось madnet; 28.08.2007 в 19:38..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
