Hej, jeg har ikke en ssl server, men vil gerne bruge lidt sikkerhed alligevel..
Så til mit login system har jeg et javascript som laver passwordet om til MD5 før det bliver smidt afsted, dette fungerer ganske nydeligt og ser ud som følger:
Nu kommer problemet så.. For den sender jo ikke bare den krypterede "crypt" den sender jo også "pass". Jeg har prøvet at smide input boxen ud af formen, men så virker det ikke.
og...øger det sikkerheden at 'krypte' pass før afsendelse ? Lad os forestille os at 'nogen' opsnapper dit sendte pass, så er md5() værdien vel ligeså værdifuld..hvis ikke mere...som den ukrypterede...eller er jeg helt forkert på den ?
well, det jeg tænker på er egentlig mere brugerens password, altså, at de ikke flyver from og tilbage, så hvis nogen endeligt opsnappede md5 strengen, kan de kun misbruge brugerens konto på min side, ikke alle andre, da de reelt ikke ved hvad passwordet er..
Jamen, jeg ligger da bare et svar, hvis det altså virkede :)
Og jeg kan da godt se din pointe, men et eller andet sted så gør det vel dit site MERE sårbart hvis du ikke laver yderligere hashing eller andet EFTER at du har modtaget pwd, men jeg ønsker ikke at blande mig utidigt i noget du ikke har ønsket at jeg skal blande mig i :)
Mvh. Johan
Synes godt om
Slettet bruger
27. november 2005 - 22:25#8
Hvis du vil øge sikkerheden en smule, vil jeg foreslå noget i denne stil:
Benyt en engangsværdi, som md5es sammen med passwordet, og som også sendes med formularen. Serveren skal så kontrollere, at denne engangsværdi ikke tidligere er brugt ved et succesfuldt login.
En engangsværdi kan enten være genereret af serveren, når den laver formularen, eller være f.eks et tidsstempel, som genereres af javascriptet.
Metoden med den servergenererede engangsværdi kaldes ofte Challenge/Response.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
