информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСетевые кракеры и правда о деле ЛевинаСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
javascript MD5 13.05.04 17:00  
Автор: Qwazar Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Подскажите плз. , как лучше защитить форму при передаче на сервер. Передавать открытым текстом - глупо, использовать MD5 на javascript, тоже бессмысленно.
Ssl(https) ??? 13.05.04 17:13  
Автор: Winer <Виктор С.> Статус: Member
Отредактировано 13.05.04 17:13  Количество правок: 2
<"чистая" ссылка>
> Подскажите плз. , как лучше защитить форму при передаче на
> сервер. Передавать открытым текстом - глупо, использовать
> MD5 на javascript, тоже бессмысленно.
SSL(HTTPS) ???
Меня интересует передача не по https 14.05.04 11:25  
Автор: Qwazar Статус: Незарегистрированный пользователь
<"чистая" ссылка>
шифровать 14.05.04 12:23  
Автор: paganoid Статус: Member
<"чистая" ссылка>
Если у посетителя наличествует некий ключ или пароль (ключ = md5(пароль)), то
собираешь джаваскриптом значения всех полей в форме в строку ( формат приблизительно название_поля1=escape(значение_поля1)&название_поля2=escape(значение_поля2)&... ), шифруешь вышеозначенным ключом с помощью симметричного шифра (des3, aes), помещаешь в скрытое поле, предыдущие значения полей очищаешь.
Когда приезжает на сервер, обратная процедура (берешь из скрытого поля, расшифровываешь тем же ключом, что указал пользователь, разбираешь на части).

Если у посетителя нет ни ключа, ни пароля, передаешь вместе с формой открытый RSA ключ, опятьтки собираешь все поля, шифруешь открытым ключом. Кады приезжает на сервер, расшифровываешь закрытым ключом. Правда, тут уже о man-in-the-middle надо заботиться, да и тормозить реализация RSA на джаваскрипт у тебя будет конкретно.
Да вот и хотелось бы какнить от man in the middle попытаться... 24.05.04 23:25  
Автор: Qwazar Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Да вот и хотелось бы какнить от man in the middle попытаться защитится
видимо, никак 25.05.04 10:59  
Автор: paganoid Статус: Member
Отредактировано 25.05.04 11:08  Количество правок: 1
<"чистая" ссылка>
man-in-the-middle подразумевается не простым дятлом со снифером, от которого эта схема вполне защищает, а от активного кекса, которые перехватывает посередине сообщения и передает дальше специально сформированные свои.

Это будет, вероятно, через подмену DNS. Соответственно, тот, что посередине, сможет прислать на клиента ЛЮБОЙ жабаскрипт взамен твоего, в т.ч. и который просто ничего не шифрует при отправке и перехватит потом открытое сообщение. Т.ч. oops.

Кстати в ssl тоже (вроде как) толковой защиты от man-in-the-middle нет.
а как насчёт подписи своим private key в ssl-мессадже ? 29.05.04 01:46  
Автор: tdes@ Статус: Незарегистрированный пользователь
<"чистая" ссылка>
каким-таким "своим" private key? сайта? браузера? verysign? 31.05.04 11:21  
Автор: paganoid Статус: Member
<"чистая" ссылка>
i.у тебя на компе предустановлен рут сертификат того же... 05.06.04 22:01  
Автор: tdes@ Статус: Незарегистрированный пользователь
<"чистая" ссылка>
i.у тебя на компе предустановлен рут сертификат того же verisign.
ii. заходишь на сервер и посредством рут сертификата и сертификата (verisign) сервера получаешь его public key, все никакой man in the middle тебе не страшен, так как подделать сертификат технологически невозможно на данном этапе
iii. если серверу нужно и тебя идентифицировать, таже процедура, только симметричная
согласен 07.06.04 12:04  
Автор: paganoid Статус: Member
<"чистая" ссылка>
В случае наличия предустановленного сертификата это так, но судя по практике, немного таких сайтов, все свои сертификаты клепают.
Поподробнее плз... 31.05.04 14:38  
Автор: Qwazar Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Хммм... 26.05.04 00:53  
Автор: Qwazar Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Видимо остаётся молится на то, что полноценный man in the middle довольно сложно реализовать
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach