Форум "Web-мастер"
Технологии web-програмирования
#0 .craZy © 16.05.04 23:36:00 - 10.12.06 16:17:42 Кодирование паролей при submitСитуация: Клиент вводит в <input> пароль, жмёт submit... Как закодировать его пароль на время передачи от клиента серверу? Мне посоветовали 2-а способа: - SSL - использование java 1) есть еще варианты? 2) насчёт java - буду очень рад сэмплам здесь или на 0xffffff@list.ru 
Отмодерировал: Deep |
#1 Е-Моё имя © 17.05.04 07:31:56
>0xffffff(собачка)list.ru как всегда, Access Violation выходит... 
|
|
#2 .craZy © 17.05.04 15:37:29
странно... ладно, можно на vito_hi(собачка)mail.ru |
#3 VictorT © 17.05.04 15:42:45
> - SSL Имхо, лучший способ. Но я лично не юзал. > - использование java Имелось в виду JavaScript? Если да, то не вижу особого смысла кодировать скриптом пароль, т.к. любой может просто глянуть исходники скрипта и раскодировать пароль... |
|
#4 Е-Моё имя © 17.05.04 16:24:34
>[2] .craZy как всегда, не понял 
|
|
#5 .craZy © 17.05.04 17:36:38
> VictorT © 17.05.04 16:42 ну да - JavaScript просто я далеко не в идеале с ним знаком... подумалось, может там есть функция кодирования (как в php например) м-да... выходит нада разгребаться с SSL... > Е-Моё имя © 17.05.04 17:24 видать и вправу - не понял |
|
#6 123' 17.05.04 20:04:26
34 |
|
#7 123' 17.05.04 20:04:30
34 |
|
#8 123 17.05.04 20:04:35
34 |
|
#9 Yuriy 13.09.06 20:22:48
Отмодерировал: Deep
|
|
#10 Mystic © 13.09.06 20:59:49
> Имелось в виду JavaScript? Если да, то не вижу особого смысла > кодировать скриптом пароль, т.к. любой может просто глянуть > исходники скрипта и раскодировать пароль... С этого места, пожалуйста, поподробнее... Исходники MD5 доступны всем. Попробуй по хэш функции придумать хотя-бы одну строку, которая бы дала этот хэш? |
|
#11 McSimm © 14.09.06 10:19:28
Существует большое количество реализаций алгоритмов шифрования на JS. В том числе и MD5. Проблема возникает в том смысле, что простое использование хэширования дает только иллюзию защищенности, т.к. никто не мешает продвинутому злоумышленнику повторить отправку перехваченной хэш-строки в чистом виде, ему даже не понадобится пароль подбирать. Если защищенность не критична и достаточно ее иллюзии - самое то :) Решается эта проблема хранением части ключа на сервере, передаче ее клиенту, клиент шифрует пароль используя полученную часть ключа и результирующий хэш становится во-первых актуальным только в рамках текущей сессии, во вторых, немаловажно, одноразовым. Однако, в случае когда защищенность действительно настолько критична, настроить SSL не должно составить труда. Поэтому следует опредилиться во-первых с правилом "неуловимого Джо", и если правило не действует, то сначала рассмотреть вариант SSL. Только после этого на мой взгляд стоит рассматривать варианты реализаций на JS |
#12 Deep © 14.09.06 12:02:06
> настроить SSL интересно бы почитать хорошие статьи об этом - о сфере применения, а критериях безопасности, ну и о самой настройке конечно.... 
|
|
#13 McSimm © 14.09.06 14:34:25
Хорошие - документация к Apache. Популярные - поиск. Например на SecurityLab. Для первого знакомства - нормально, только там настройка на примере *nix (что вполне понятно, серьезные проекты не используют апач под win, а несерьезные не требуют ssl) Кроме того, если хостинг не собственный, большинство вопросов можно решить обращением к support |
|
#14 Yuriy 04.11.06 06:47:45
VictorT : спам
|
|
#15 Yuriy 10.12.06 16:17:42
Румпель : Вашему посту место в разделе "Реклама"
|
Написать ответ |
|