Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
javascript MD5 13.05.04 17:00
Автор: Qwazar Статус: Незарегистрированный пользователь
|
Подскажите плз. , как лучше защитить форму при передаче на сервер. Передавать открытым текстом - глупо, использовать MD5 на javascript, тоже бессмысленно.
|
|
Ssl(https) ??? 13.05.04 17:13
Автор: Winer <Виктор С.> Статус: Member Отредактировано 13.05.04 17:13 Количество правок: 2
|
> Подскажите плз. , как лучше защитить форму при передаче на > сервер. Передавать открытым текстом - глупо, использовать > MD5 на javascript, тоже бессмысленно. SSL(HTTPS) ???
|
| |
Меня интересует передача не по https 14.05.04 11:25
Автор: Qwazar Статус: Незарегистрированный пользователь
|
|
| | |
шифровать 14.05.04 12:23
Автор: paganoid Статус: Member
|
Если у посетителя наличествует некий ключ или пароль (ключ = md5(пароль)), то
собираешь джаваскриптом значения всех полей в форме в строку ( формат приблизительно название_поля1=escape(значение_поля1)&название_поля2=escape(значение_поля2)&... ), шифруешь вышеозначенным ключом с помощью симметричного шифра (des3, aes), помещаешь в скрытое поле, предыдущие значения полей очищаешь.
Когда приезжает на сервер, обратная процедура (берешь из скрытого поля, расшифровываешь тем же ключом, что указал пользователь, разбираешь на части).
Если у посетителя нет ни ключа, ни пароля, передаешь вместе с формой открытый RSA ключ, опятьтки собираешь все поля, шифруешь открытым ключом. Кады приезжает на сервер, расшифровываешь закрытым ключом. Правда, тут уже о man-in-the-middle надо заботиться, да и тормозить реализация RSA на джаваскрипт у тебя будет конкретно.
|
| | | |
Да вот и хотелось бы какнить от man in the middle попытаться... 24.05.04 23:25
Автор: Qwazar Статус: Незарегистрированный пользователь
|
Да вот и хотелось бы какнить от man in the middle попытаться защитится
|
| | | | |
видимо, никак 25.05.04 10:59
Автор: paganoid Статус: Member Отредактировано 25.05.04 11:08 Количество правок: 1
|
man-in-the-middle подразумевается не простым дятлом со снифером, от которого эта схема вполне защищает, а от активного кекса, которые перехватывает посередине сообщения и передает дальше специально сформированные свои.
Это будет, вероятно, через подмену DNS. Соответственно, тот, что посередине, сможет прислать на клиента ЛЮБОЙ жабаскрипт взамен твоего, в т.ч. и который просто ничего не шифрует при отправке и перехватит потом открытое сообщение. Т.ч. oops.
Кстати в ssl тоже (вроде как) толковой защиты от man-in-the-middle нет.
|
| | | | | |
а как насчёт подписи своим private key в ssl-мессадже ? 29.05.04 01:46
Автор: tdes@ Статус: Незарегистрированный пользователь
|
|
| | | | | | |
каким-таким "своим" private key? сайта? браузера? verysign? 31.05.04 11:21
Автор: paganoid Статус: Member
|
|
| | | | | | | |
i.у тебя на компе предустановлен рут сертификат того же... 05.06.04 22:01
Автор: tdes@ Статус: Незарегистрированный пользователь
|
i.у тебя на компе предустановлен рут сертификат того же verisign.
ii. заходишь на сервер и посредством рут сертификата и сертификата (verisign) сервера получаешь его public key, все никакой man in the middle тебе не страшен, так как подделать сертификат технологически невозможно на данном этапе
iii. если серверу нужно и тебя идентифицировать, таже процедура, только симметричная
|
| | | | | | | | |
согласен 07.06.04 12:04
Автор: paganoid Статус: Member
|
В случае наличия предустановленного сертификата это так, но судя по практике, немного таких сайтов, все свои сертификаты клепают.
|
| | | | | | | |
Поподробнее плз... 31.05.04 14:38
Автор: Qwazar Статус: Незарегистрированный пользователь
|
|
| | | | | |
Хммм... 26.05.04 00:53
Автор: Qwazar Статус: Незарегистрированный пользователь
|
Видимо остаётся молится на то, что полноценный man in the middle довольно сложно реализовать
|
|
|