04. marts 2010 - 20:00Der er
13 kommentarer og 1 løsning
Kryptering af password
Er det ikke korrekt at hvis man har en login form og ikke bruger en ssl forbindelse så bliver det sendt med post i klar tekst som kan opsnappes? Normal krypter man jo først med PHP når passwordet er blevet sendt med post. Skal man evt. krypter det med noget javascript før det bliver postet? Eller hvad kan man gøre?
umiddelbart kunne du bruge javascript til at kryptere det, men så skal javascript-koden også scramples på en eller anden måde, så det er svært at se hvilken key du bruger. der findes ikke nogen bulletproof måde at gøre det på og selv med https kan der laves mitm-attacks ved at spoofe certicates. men hvis ikke du kan bruge https så som splazz siger - brug noget scrampled js-kode til at kryptere skidtet.
Det krypterer indtastet password, og sætter krypteret værdi i et hiddenfelt, og tømmer passwordfeltet, så der på den måde ikke sendes "ren tekst" afsted.
A ren og skær nysgerrighed - hvordan kan det så være at I vil sikre jer at der ikke er nogen der sniffer trafikken mellem jeres server og klienten? Personligt mener jeg det må være klientens ansvar at forbindelsen mellem websitet og browseren er tilstrækkelig sikker. Ikke kun for at sikre kommunikationen mellem min løsning og klienten, men også generelt i forbindelse med andre løsninger? Det er vigtigere for mig, som bruger af et site, at jeg ved min kode ikke kan aflæses ved at kigge i backenden - det er typisk SQL injections og andre sårbarheder der er på diverse online applikationer. At jeg så sender mit password i clear text anser jeg ikke som en større sikkerhedsrisiko end hvis uvedkommende får adgang til mine oplysninger i databasen.
#6 Det er vel trods alt nemmere at få fat i div. computere ( lægge noget snavs ind ) som bruges af "alm." brugere, end at skulle hacke sig ind på en server ?
Anyway, er det jo absolut ingen skade til at man prøver at sikre så meget som man nu kan ?
Hvordan du har det med de scripts du laver, serversetup etc. er jo "lukket land" for brugeren.
Det kan da tilføjes at det ikke rigtig afhjælper sniffer-problemet, at man hash'er passwordet i js før afsendelse. Sniffer man den hash, så kan man jo stadig logge ind som denne bruger...
HTTPS løser problemer ved at benytte asymmetrisk kryptering.
Ja, jeg var pissetræt og tænkte med røven. Og lige for tiden er der for langt i mellem at jeg roder med php.
Glem endelig min kommentar i #12
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.