FAQ |
Kalender |
2008-09-28, 13:14 | #31 | ||
|
|||
Klarade millennium-buggen
|
Citat:
SSL är det enda rätta oavsett... Om du kodar på clientside, ja? Vad händer? Jo, du skickar en hash istället för ett lösenord, i vilket fall som helst så är hashen lösenordet istället. Sniffar man trafiken så behöver man bara skicka hashen istället. |
||
Svara med citat |
2008-09-28, 13:39 | #32 | |||
|
||||
Medlem
|
Edit: läste igenom vad du skrev igen och ser att jag misstolkade helt..
Ja som sagt.. SSL är det ända rätta om man vill vara på det torra. Den ända tryggheten att hasha lösenordet med javascript sha256 är ju att hackaren inte får reda på själva lösenordet som potentiellt kanske används av användaren till andra konton på andra sidor (typ mailkonto etc.). SÅ jag syftade inte på att det var någon ersättare till SSL. |
|||
Svara med citat |
2008-09-28, 13:48 | #33 | |||
|
||||
Mycket flitig postare
|
Citat:
Det bästa är att köra krypteringen på klientsidan och skydda trafiken med SSL. |
|||
Svara med citat |
2008-09-28, 13:52 | #34 | |||
|
||||
Medlem
|
Citat:
|
|||
Svara med citat |
2008-09-28, 13:56 | #35 | |||
|
||||
Mycket flitig postare
|
Citat:
|
|||
Svara med citat |
2008-09-28, 14:12 | #36 | |||
|
||||
Medlem
|
Citat:
|
|||
Svara med citat |
2008-09-28, 22:07 | #37 | |||
|
||||
Mycket flitig postare
|
Citat:
1. Ägaren är en bad guy 2. Man sitter på en delad webbserver där en annan webbsida blivit hackad och på så sätt kommer dom åt din webbsida 3. Servern blir stulen/omdirigerad För ovanstående fall kan man göra en del grejor för att försvåra processen för hackarna: -Skydda serverkoden, t.ex en med en PHP-encryptor -Skydda klientkrypteringen med en signering, vilket innebär att om hackaren skickar ut en falsk klientkryptering så får klienten upp en varningsruta i webbläsaren, eller se till att klientkrypteringen måste installeras som en plugin i webbläsaren istf. att den skickas från servern. Den bästa anledningen till att aldrig lagra lösenord i klartext är väl att hackarna måste vänta till varje användare loggar in för att kunna plocka lösenordet/hashen (dvs. man använder salt+en bra hashrutin i databasen) Man kan göra all kryptering med Javascript, SHA-512, PGP etc. , nackdelen är att det går långsammare + att det är mkt svårare att göra någon sorts signering av klientkoden, Java/ActiveX är bättre på detta. |
|||
Svara med citat |
2008-09-28, 23:50 | #38 | |||
|
||||
Medlem
|
Citat:
|
|||
Svara med citat |
2008-09-29, 09:44 | #39 | |||
|
||||
Medlem
|
Btw vart hittar jag SHA-512 för javascript? Har googlat men utan framgång.
|
|||
Svara med citat |
2008-09-29, 10:08 | #40 | |||
|
||||
Mycket flitig postare
|
Ex: http:// jssha .sourceforge.net/
Men som jag skrev tidigare i denna tråd är SHA-512 overkill. |
|||
Svara med citat |
Svara |
|
|