Jump to content
php.lv forumi

https vs password encryption with Javascript


Jay Kay

Recommended Posts

nav jau noslēpums, ka paroles DB jāglabā hešotā veidā, taču kāda no tā jēga, ja parole pa ceļam tiek pārtverta. pamēģināju mājas tīklā un arī izdevās ar Cain'u nokapčurot no cita datora sūtītu draugiem.lv lietotājvārdu ar visu paroli, jo draugiem.lv login lapa ir HTTP bez SSL enkripšona. laikam ir tikai kkāda https://secure.draugiem.lv kas apstrādā datus.

ja login lapa ir plain HTTP savienojums, tad es būtu kriptējis paroli ar JavaScript pirms nosūtīšanas uz serveri.

jautājums gluži loģisks - vai viņiem pilnīgi po*** par lietotājiem vai arī es neredzu to kā šajā gadījumā drošība tiek nodrošināta?

 

[EDIT]P.S. pie reizes varbūt kāds pastāstīs: mūsu forumam ir jauna IPBoard versija, taču vai tas ir iemesls, kādēļ es nevaru atrast savus postus, kurus vēl vecajā versijā postoju?

Edited by Jay Kay
Link to comment
Share on other sites

1)Šāda veida pārtveršānu tu vari veikt tikai lokālā tīklā.

2)paroli var sahešot vienreiz klienta pusē un tad vēl otreiz servera pusē. Tad pat pārtveros paroles 1. hešu, īsto paroles tekstu neuzzināsi.

3)Paroles glabā heošotā veidā tāpēc, lai db iegūšanas gadījuma, nebūtu pieejams liels skaits lietotāju paroļu un e-pastu, kuru kombinācija var tālāk konfrontēt arī e-pastus un citu servisu autorizācijas.

Link to comment
Share on other sites

1)Šāda veida pārtveršānu tu vari veikt tikai lokālā tīklā.

2)paroli var sahešot vienreiz klienta pusē un tad vēl otreiz servera pusē. Tad pat pārtveros paroles 1. hešu, īsto paroles tekstu neuzzināsi.

3)Paroles glabā heošotā veidā tāpēc, lai db iegūšanas gadījuma, nebūtu pieejams liels skaits lietotāju paroļu un e-pastu, kuru kombinācija var tālāk konfrontēt arī e-pastus un citu servisu autorizācijas.

paldies, ka centies un atbildēji uz visiem maniem retoriskajiem jautājumiem:D:D

 

jautājums paliek atklāts - kādēļ draugiem.lv nenodrošina drošu loginu? piemēram, es pieslēdzos kādam publiskam WiFi access pointam un bezmazvai zogu paroles cik gribu! kādēļ draugiem.lv nenodrošina HTTPS loginu vai arī nehešo paroles klienta pusē pirms nosūtīšanas un serveri? vai tas man viņiem būtu jājautā?

Link to comment
Share on other sites

jautājums paliek atklāts - kādēļ draugiem.lv nenodrošina drošu loginu? piemēram, es pieslēdzos kādam publiskam WiFi access pointam un bezmazvai zogu paroles cik gribu! kādēļ draugiem.lv nenodrošina HTTPS loginu vai arī nehešo paroles klienta pusē pirms nosūtīšanas un serveri? vai tas man viņiem būtu jājautā?

Facebook jau arī nendrošina doršu loginu. Es uztaisu tārpu, kurš spiego paroles un izplatās caur epastiem, skype un datu nesējiem un lasu visiem paroles. Nesaprotu, kāpēc gan Facebook neizmanto piespraužamas USB atslēgas, kuras pasargā pret šādu paroļu zagšanu?

 

 

Bet par to, ka tev izdevās dabūt paroli, man šķiet, ka tu pamatīgi dirs, jo draugiem posto login formu caur https:

 

 

<form action="https://secure.draugiem.lv/login/" name="login" method="post">

Link to comment
Share on other sites

Paroļu hešošana ar JS klienta pusē ir kaķim zem astes. Uztaisīšu viltotu login lapu, bez taviem JS vipedroniem, tad, piemēram, saindēšu DNS, vai kā savādāk novirzišu tevi uz viltoto lapu un paroles rokā. HTTPS ir gandrīz vai vienīgais variants kā var pārliecināties, ka lapa kuru redzi ir tā kuru gribēji atvērt.

Edited by yancho
Link to comment
Share on other sites

Šāda hešošana klienta pusē ir tikai drošuma ilūzija. Ja jau uzbrucējs ir tik gudrs, lai snifotu tīklu, tad nekas viņam netraucēs izmantot tevis nosūtīto hashu. Protams, var jau mēģināt arī katru reizi no servera kādu sāli aizsūtīt, lai šis hash vēlāk nebūtu derīgs, tas palīdzēs gadījumiem, ja pieprasījumi tiek logoti vēlākai izpētei. Bet tas nekādi nepalīdzēs, ja hakeris reāli sēž uz trafika - var jau pagaidīt, līdz ielogosies un tad sūtīt pieprasījumus tavā vārdā.

Link to comment
Share on other sites

viennmēr varēs atrast arvien spēcīgāku veidu kā apiet jebkuru drošības pasākumu, taču kaut kāds drošības pasākumu kopums parasta rada pietiekami lielu drošību, lai lielākajā daļā gadījumu viss būtu ok.

Edited by codez
Link to comment
Share on other sites

Facebook jau arī nendrošina doršu loginu. Es uztaisu tārpu, kurš spiego paroles un izplatās caur epastiem, skype un datu nesējiem un lasu visiem paroles. Nesaprotu, kāpēc gan Facebook neizmanto piespraužamas USB atslēgas, kuras pasargā pret šādu paroļu zagšanu?

 

 

Bet par to, ka tev izdevās dabūt paroli, man šķiet, ka tu pamatīgi dirs, jo draugiem posto login formu caur https:

 

 

<form action="https://secure.draugiem.lv/login/" name="login" method="post">

 

laikam tas bija tas, ko es gribēju noskaidrot. ja pati login lapa ir tikai HTTP, tad ar action="HTTPS" dati tiek nosūtīti kriptētā veidā?

 

Paroļu hešošana ar JS klienta pusē ir kaķim zem astes. Uztaisīšu viltotu login lapu, bez taviem JS vipedroniem, tad, piemēram, saindēšu DNS, vai kā savādāk novirzišu tevi uz viltoto lapu un paroles rokā. HTTPS ir gandrīz vai vienīgais variants kā var pārliecināties, ka lapa kuru redzi ir tā kuru gribēji atvērt.

 

tagad arī saprotu, ko īsti nozīmē tīkla saindēšana, ko es paveicu ar Cain'u - lietotājs tika aizvests ķipa uz to pašu draugiem.lv, taču fake lapu - atceros, ka tika piedāvāts pārinstalēt kkādu SSL sertifikātu, kas attiecīgi bija Cain ģenerēts.

 

paldies! apmēram skaidrs!

Edited by Jay Kay
Link to comment
Share on other sites

Atbilde ir HTTPS.

 

Bez HTTPS var mēģināt izlīdzēties ar password challenge.

1. Serveris kopā ar login formu nosūta challenge string, kas, protams, katru reizi ir unikāls.

2. Klienta pusē JS paroli kopā ar šo challenge nohešo un sūta atpakaļ.

3. Servera pusē atliek vien pārbaudīt.

 

Šādi tiek nosacīti pasargāts pret iespēju nosnifotu hash iebarot serverim.

 

Bet vēlreiz, tikai https būs drošs.

Link to comment
Share on other sites

Atbilde ir HTTPS.

 

Bez HTTPS var mēģināt izlīdzēties ar password challenge.

1. Serveris kopā ar login formu nosūta challenge string, kas, protams, katru reizi ir unikāls.

2. Klienta pusē JS paroli kopā ar šo challenge nohešo un sūta atpakaļ.

3. Servera pusē atliek vien pārbaudīt.

 

Šādi tiek nosacīti pasargāts pret iespēju nosnifotu hash iebarot serverim.

 

Bet vēlreiz, tikai https būs drošs.

LABS!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...