информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Очередное исследование 19 миллиардов...   Оптимизация ввода-вывода как инструмент...   Зловреды выбирают Lisp и Delphi
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / web building		Имя Пароль

	если вы видите этот текст, отключите в настройках форума использование JavaScript

ФОРУМ
	все доски
	FAQ
	IRC
	новые сообщения
	site updates
	guestbook
	beginners
	sysadmin
	programming
	operating systems
	theory
	web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация

Легенда:   новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение

• Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
• Новичкам также крайне полезно ознакомиться с данным документом.

	Ssl(https) ??? 13.05.04 17:13  Число просмотров: 3070 Автор: Winer <Виктор С.> Статус: Member Отредактировано 13.05.04 17:13  Количество правок: 2 <"чистая" ссылка>
	> Подскажите плз. , как лучше защитить форму при передаче на > сервер. Передавать открытым текстом - глупо, использовать > MD5 на javascript, тоже бессмысленно. SSL(HTTPS) ???
	<web building>

javascript MD5 13.05.04 17:00   Автор: Qwazar Статус: Незарегистрированный пользователь <"чистая" ссылка>

Подскажите плз. , как лучше защитить форму при передаче на сервер. Передавать открытым текстом - глупо, использовать MD5 на javascript, тоже бессмысленно.

	Ssl(https) ??? 13.05.04 17:13   Автор: Winer <Виктор С.> Статус: Member Отредактировано 13.05.04 17:13  Количество правок: 2 <"чистая" ссылка>
	> Подскажите плз. , как лучше защитить форму при передаче на > сервер. Передавать открытым текстом - глупо, использовать > MD5 на javascript, тоже бессмысленно. SSL(HTTPS) ???

		Меня интересует передача не по https 14.05.04 11:25   Автор: Qwazar Статус: Незарегистрированный пользователь <"чистая" ссылка>

			шифровать 14.05.04 12:23   Автор: paganoid Статус: Member <"чистая" ссылка>
			Если у посетителя наличествует некий ключ или пароль (ключ = md5(пароль)), то собираешь джаваскриптом значения всех полей в форме в строку ( формат приблизительно название_поля1=escape(значение_поля1)&название_поля2=escape(значение_поля2)&... ), шифруешь вышеозначенным ключом с помощью симметричного шифра (des3, aes), помещаешь в скрытое поле, предыдущие значения полей очищаешь. Когда приезжает на сервер, обратная процедура (берешь из скрытого поля, расшифровываешь тем же ключом, что указал пользователь, разбираешь на части). Если у посетителя нет ни ключа, ни пароля, передаешь вместе с формой открытый RSA ключ, опятьтки собираешь все поля, шифруешь открытым ключом. Кады приезжает на сервер, расшифровываешь закрытым ключом. Правда, тут уже о man-in-the-middle надо заботиться, да и тормозить реализация RSA на джаваскрипт у тебя будет конкретно.

				Да вот и хотелось бы какнить от man in the middle попытаться... 24.05.04 23:25   Автор: Qwazar Статус: Незарегистрированный пользователь <"чистая" ссылка>
				Да вот и хотелось бы какнить от man in the middle попытаться защитится

					видимо, никак 25.05.04 10:59   Автор: paganoid Статус: Member Отредактировано 25.05.04 11:08  Количество правок: 1 <"чистая" ссылка>
					man-in-the-middle подразумевается не простым дятлом со снифером, от которого эта схема вполне защищает, а от активного кекса, которые перехватывает посередине сообщения и передает дальше специально сформированные свои. Это будет, вероятно, через подмену DNS. Соответственно, тот, что посередине, сможет прислать на клиента ЛЮБОЙ жабаскрипт взамен твоего, в т.ч. и который просто ничего не шифрует при отправке и перехватит потом открытое сообщение. Т.ч. oops. Кстати в ssl тоже (вроде как) толковой защиты от man-in-the-middle нет.

						а как насчёт подписи своим private key в ssl-мессадже ? 29.05.04 01:46   Автор: tdes@ Статус: Незарегистрированный пользователь <"чистая" ссылка>

							каким-таким "своим" private key? сайта? браузера? verysign? 31.05.04 11:21   Автор: paganoid Статус: Member <"чистая" ссылка>

								i.у тебя на компе предустановлен рут сертификат того же... 05.06.04 22:01   Автор: tdes@ Статус: Незарегистрированный пользователь <"чистая" ссылка>
								i.у тебя на компе предустановлен рут сертификат того же verisign. ii. заходишь на сервер и посредством рут сертификата и сертификата (verisign) сервера получаешь его public key, все никакой man in the middle тебе не страшен, так как подделать сертификат технологически невозможно на данном этапе iii. если серверу нужно и тебя идентифицировать, таже процедура, только симметричная

									согласен 07.06.04 12:04   Автор: paganoid Статус: Member <"чистая" ссылка>
									В случае наличия предустановленного сертификата это так, но судя по практике, немного таких сайтов, все свои сертификаты клепают.

								Поподробнее плз... 31.05.04 14:38   Автор: Qwazar Статус: Незарегистрированный пользователь <"чистая" ссылка>

						Хммм... 26.05.04 00:53   Автор: Qwazar Статус: Незарегистрированный пользователь <"чистая" ссылка>
						Видимо остаётся молится на то, что полноценный man in the middle довольно сложно реализовать

1

Copyright © 2001-2025 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach