[AJAX][PHP]Bezpieczeństwo hasła Opcje

[kamilo818]

Witam,
zastanawiam się czy to bezpieczne.

w pliku logowanie.php mam formularz z logowaniem. Pobrane z formularza dane przesyłam ajaxem metodą get do pliku sprawdzającego poprane haslo i login.
Ale wydaje mi sie ze to przeslanie jest dosc niebezpieczne.
Czy jest metoda żeby to jakos 'ukryc'?

firebug:

GET http://localhost/tags/checkLog.php?login=a...amp;haslo=admin

Dzięki za pomoc.

[matiit]

W publicznych sieciach będzie to banalne do wyłapania. Poziom bezpieczeństwa jest ten sam o logowanie formularzem GET/POST bez ajaksa - de facto wykonujesz to samo.

Użyj ssl jeśli chcesz być spokojny.

Ten post edytował matiit 7.02.2014, 17:25:29

[kamilo818]

A np można przed wysłaniem ajaxem zahashować hasło? Jakimś odpowienikim md5?
Czy to raczej nie możliwe? Albo głupi pomysł (IMG:style_emoticons/default/tongue.gif)

[Posio]

To dlaczego nie wyślesz tego POSTem ?

[kamilo818]

A czy to coś zmieni?

[Posio]

ogólnie to nie rozumiem co dokładnie chcesz osiągnąć ? Oczywiście ze zmieni. Bo plik admin.php czy jaktotam zwiesz, do którego ajaxem wysyłasz dane odbiera je poprzez GET i tu się zaczynają zabawy z adresem. A nie każdy domorosły cracker wie co to cURL np.

[matiit]

Post nic nie zmienia (IMG:style_emoticons/default/smile.gif)

Możesz hashować JSem, tym samym algo, którym hashujesz hasła w DB - ale wtedy:
1. Nie używasz soli.
2. Ujawniasz sól w JS (IMG:style_emoticons/default/smile.gif)

Posio
POST czy GET... zmienia tylko tyle, że w POST nie widać czegoś w adresie (IMG:style_emoticons/default/smile.gif)

Wystarczy pierwszy lepszy sniffer i nie ma znaczenia czy to był POST czy GET. Wszystko leci plaintextem.

Możesz hashować hasło w JS, tym samym algo co w DB, ale:
1. nie używasz wtedy soli.
2. Ujawniasz sól w JS

Ten post edytował matiit 7.02.2014, 17:43:33

[kamilo818]

pozostaje ssl czy istnieje jakaś inna w miare bezpieczna metoda ?

[viking]

Ale jaki jest twój problem? Wysyłając ajaxem robisz to samo co wysyłając formularz. Czy wysyłając formularz martwisz się jakoś szczególnie o widoczność tych danych?

[Posio]

Ale przed czym ty chcesz się konkretnie bronic nam powiedz, bo nie rozumiem...

[matiit]

Ale co chcesz osiągnąć? Jeśli Twoi użytkownicy nie wydają w Twoim serwisie grubej kasy i dasz info, aby się nie logować w publicznych sieciach itd... to nie ma to wielkiego znaczenia.

Zobacz ile serwisów nie ma logowania po SSL, nawet facebook kiedyś nie miał i powstała aplikacja pozwalająca każdemu poznać hasła wszystkich którzy się logują w obrębie sieci do której jesteś połączony (IMG:style_emoticons/default/smile.gif)

[kamilo818]

Ok.
To w takim razie inaczej zadam pytanie;) W jaki sposób stworzyć bezpieczny system logowania?
Pytam tylko i wyłącznie w celach edukacyjnych. Nie sądze żebym kiedykolwiek przechowywał aż tak tajne i kosztowne informacje.

[matiit]

Użyj SSL

[werdan]

SSL (IMG:style_emoticons/default/biggrin.gif)

Musisz jakoś przesłać dane ze strony na serwer, czy to ajaxem, getem, postem, czy jeszcze czyms innym - to wszystko można podejrzeć.
Dasz hashowanie/szyfrowanie w JS - można podejrzeć.

[Posio]

jeśli chcesz utworzyć bezpieczy system logowania to przede wszystkim filtracja danych podawanych przez użytkownika. Zabezpieczenie się przez SQLInjection XSS i innymi atakami. SSL nic nie da jeżeli twój skrypt będzie podatny na podstawowe ataki.