Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | |
Ну что ? пофлеймим ? :) 11.12.01 16:25 Число просмотров: 2048
Автор: PS <PS> Статус: Elderman
|
> а тут речь идет о защите от снифера, наскока я понял.
У тебя обычно пароль сколько символов ?
md5(challenge + md5(password.value))
challenge - голое гуляет по сети, осталось только подобрать от 3х до 7и символов, причем это символы a-z, A-Z, 0-9, [пробел].
ИМХО, веб защита - это защита от ленивых.
|
|
<theory>
|
Удаленная авторизация 08.12.01 15:08
Автор: GorynYch Статус: Member
|
|
как замутить авторизацию на сервер, без ssl, так чтоб если пароль кто-то перехватил, то не смог бы им воспользоватся???
|
|
Удаленная авторизация 11.12.01 09:56
Автор: iddqd <Юрий> Статус: Member
|
А сделай по принципу CHAP: сервер посылает клиенту большое случайное число, клиент его шифрует своим паролем, и отдает серверу, тот тоже шифрует и сравнивает. Для шифрования можно использовать тот же crypt или md5, ну, или сам какой-нибудь простой алгоритм напиши, тока не используй только перестановку, только xor или только сложение, они очень легко ломаются статистически. А вообще, про это дело очень много написано, на том же opennet.ru.
Всего доброго.
|
| |
Эт надо для веб сервиса. 11.12.01 14:10
Автор: GorynYch Статус: Member
|
> А сделай по принципу CHAP: сервер посылает клиенту большое
> случайное число, клиент его шифрует своим паролем, и отдает
> серверу, тот тоже шифрует и сравнивает. Для шифрования
> можно использовать тот же crypt или md5, ну, или сам
> какой-нибудь простой алгоритм напиши, тока не используй
> только перестановку, только xor или только сложение, они
> очень легко ломаются статистически. А вообще, про это дело
> очень много написано, на том же opennet.ru.
>
> Всего доброго.
Привет!
Помоему это нельзя(оч сложно) реализовать для веб сервиса...
Были мысли как нить зашифровать пароль и логин юзера JavaScript'ом.
|
| | |
Эт надо для веб сервиса. 11.12.01 14:29
Автор: iddqd <Юрий> Статус: Member
|
|
Ну да, я понял, что это для веба. У меня была такая же идея сделать авторизацию (правда, руки не дошли), так чтоб пароль не гонять по сети. Кроме Java и JavaScript ничего толкового не придумал. На самом деле, не понимаю, чем тебе не нравится этот способ. Написал на Javascript'е простенькую хэш-функцию, и всего делов-то, IMHO. Главное, чтоб перемешивала как положено.
|
| | | |
Эт надо для веб сервиса. 11.12.01 15:07
Автор: paganoid Статус: Member
|
> Ну да, я понял, что это для веба. У меня была такая же идея
> сделать авторизацию (правда, руки не дошли), так чтоб
> пароль не гонять по сети. Кроме Java и JavaScript ничего
> толкового не придумал. На самом деле, не понимаю, чем тебе
> не нравится этот способ. Написал на Javascript'е
> простенькую хэш-функцию, и всего делов-то, IMHO. Главное,
> чтоб перемешивала как положено.
ничего сложного и правда нет. разжевать если только...
Такая авторизация, к примеру, на dostavka.ru . Вставляется жабаскрипт md5.js ,
вставляется hidden поле challenge в форму логина, в которую сервер пишет случайное число и запоминает его в таблице . Когда идет отсылка формы, ловишь onSubmit , в другое скрытое поле формы responce пишешь (жабаскриптом ессна) responce.value = md5(challenge + md5(password.value)) . Password стираешь. Форма отправляется. Когда приходит ответ серверу, он ищет challenge в табличке выданных challenge'й , получаешь пароль в базе, выполняешь те же преобразования, сравниваешь, что получилось в рез-те вычислений, с тем, что послала форма.
простенькую хеш ф-ю советую не использовать, этот md5.js везде валяется..
|
| | | | |
Другими словами 11.12.01 15:45
Автор: PS <PS> Статус: Elderman
|
спокойно вклиниваешся между ними и посылаешь запросы от имени клиента.
ИМХО, делать какую либо защиту на вебе - пустая трата времени. Только если начальству отрапортовать надо.
> ничего сложного и правда нет. разжевать если только...
> Такая авторизация, к примеру, на dostavka.ru . Вставляется
> жабаскрипт md5.js ,
> вставляется hidden поле challenge в форму логина, в
> которую сервер пишет случайное число и запоминает его в
> таблице . Когда идет отсылка формы, ловишь onSubmit , в
> другое скрытое поле формы responce пишешь (жабаскриптом
> ессна) responce.value = md5(challenge +
> md5(password.value)) . Password стираешь. Форма
> отправляется. Когда приходит ответ серверу, он ищет
> challenge в табличке выданных challenge'й , получаешь
> пароль в базе, выполняешь те же преобразования,
> сравниваешь, что получилось в рез-те вычислений, с тем, что
> послала форма.
>
> простенькую хеш ф-ю советую не использовать, этот md5.js
> везде валяется..
>
|
| | | | | |
Другими словами 11.12.01 15:59
Автор: iddqd <Юрий> Статус: Member
|
> спокойно вклиниваешся между ними и посылаешь запросы от
> имени клиента.
> ИМХО, делать какую либо защиту на вебе - пустая трата
> времени. Только если начальству отрапортовать надо.
таким макаром можно и в SSL вклиниться ;) и никто не заметит, там же временный пароль открытым ключем шифруется, если я не ошибаюсь.
а тут речь идет о защите от снифера, наскока я понял.
|
| | | | | | |
Ну что ? пофлеймим ? :) 11.12.01 16:25
Автор: PS <PS> Статус: Elderman
|
> а тут речь идет о защите от снифера, наскока я понял.
У тебя обычно пароль сколько символов ?
md5(challenge + md5(password.value))
challenge - голое гуляет по сети, осталось только подобрать от 3х до 7и символов, причем это символы a-z, A-Z, 0-9, [пробел].
ИМХО, веб защита - это защита от ленивых.
|
| | | | | | | |
Ну что ? пофлеймим ? :) 11.12.01 16:44
Автор: iddqd <Юрий> Статус: Member
|
> Ну что ? пофлеймим ? :)
ну давай, пока рабочий день не закончился ;))))
> > а тут речь идет о защите от снифера, наскока я понял.
>
> У тебя обычно пароль сколько символов ?
у меня обычно 8-10, беру из отрывка "head -n44 < /dev/urandom | uuencode -m x", потом запоминаю ;)
думаю, этого достаточно, чтоб отбить желание подбирать пароль с мд5
> md5(challenge + md5(password.value))
> challenge - голое гуляет по сети, осталось только подобрать
тут согласен, на том же перле будет генериться гораздо быстрее при простом переборе
> от 3х до 7и символов, причем это символы a-z, A-Z, 0-9,
> [пробел].
за то их много ;)
> ИМХО, веб защита - это защита от ленивых.
не согласен, смотря как сделать
я бы сказал, это бесполезно для короткого пароля
|
| | | | | | | | |
Ну что ? пофлеймим ? :) 11.12.01 16:51
Автор: iddqd <Юрий> Статус: Member
|
забыл добавить:
по моему мнению, 8-7ми символов вполне достаточно, т.к. даже при полном переборе пароля,
будет очень много совпадений, а все их нужно проверять, что, в свою очередь, хорошо заметно на сервере (лоджин один и тот же, но пароли совершенно разные)
|
| | | | | | | | | |
Нет, ты не понял :) 11.12.01 17:08
Автор: PS <PS> Статус: Elderman
|
На сервере ничего не выйдет проверить. Подбор будет происходить между клиентом и сервером. И подыскиватся правильный (совпадающий) хеш. Но это все относится к коротким паролям (как уже было сказано).
> забыл добавить:
> по моему мнению, 8-7ми символов вполне достаточно, т.к.
> даже при полном переборе пароля,
> будет очень много совпадений, а все их нужно проверять,
> что, в свою очередь, хорошо заметно на сервере (лоджин один
> и тот же, но пароли совершенно разные)
|
| | | | | | | | | | |
Нет, ты не понял :) 11.12.01 17:22
Автор: iddqd <Юрий> Статус: Member
|
> На сервере ничего не выйдет проверить. Подбор будет
> происходить между клиентом и сервером. И подыскиватся
> правильный (совпадающий) хеш. Но это все относится к
ну да, тут полностью согласен, если вклиниться между клиентом и сервером, то тут уже ничего не поможет, даже SSL (тоже было сказано выше) ;)
> коротким паролям (как уже было сказано).
походу, тема исчерпана, не получилось пофлеймить :((
|
| | | | |
Эт надо для веб сервиса. 11.12.01 15:16
Автор: iddqd <Юрий> Статус: Member
|
гы, точно ;)
классная штука, тока тяжелая (9.5k) ;)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
