 i znowu bezpieczenstwo |
| i znowu bezpieczenstwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 48 Pomógł: 0 Dołączył: 11.09.2003 Skąd: Giżycko/Wawa Ostrzeżenie: (0%) 
 |
dobra pytanko:
w ktorym momencie mozna przechwycic haslo wyslane z formularza? jezeli w pliku mam forma, to przeciez nie da rady wyslac z pola password zahashowanego hasla w md5. Qrcze to w takim razie nie jest bezpieczne wysylanie w ogole danych z forma bo jak mam cos takiego: [xml:1:7b579e6eb0] <html> <head> <title>Zapisywanie nowego uzytkownika</title> </head> <body> <form method=post action=register.php> <table width=100% border=0 cellpadding=4 cellspacing=0> <tr> <td width=24% align=left valign=top>Imie</td> <td width=76%><input name=first_name type=text id=first_name></td> </tr> <tr> <td align=left valign=top>Nazwisko</td> <td><input name=last_name type=text id=last_name></td> </tr> <tr> <td align=left valign=top>E-mail</td> <td><input name=email_address type=text id=email_address></td> </tr> <tr> <td align=left valign=top>Login</td> <td><input name=login type=text id=login></td> </tr> <tr> <td align=left valign=top>Haslo:</td> <td><input type=password name=password id=password></td> </tr> <tr> <td align=left valign=top> </td> <td><input type=submit name=Submit value=Zapisz!></td> </tr> </table> </form> </body> </html> [/xml:1:7b579e6eb0] i przy przesylaniu do pliku register.php dane wejsciowe beda widoczne przy przekazywaniu (wlacznie z password) ? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 461 Pomógł: 32 Dołączył: 17.09.2003 Skąd: Łódź Ostrzeżenie: (0%)
|
A zrób tak...
Rozpocznij sesje i w tej sesji zapisz pewną wartość salt, prześlij tą wartość do strony na której chcesz zrobić logowanie...następnie po wpisaniu hasła przez użytkownika, niech JavaScypt prejmie je i wstępnie przerobi za pmocą tej wartości następnie użyj md5 i prześlij wartość zhaszowaną...na serwerze oryginalne hasło potraktuj tak samo tą wartoscią salt, znowu polic hash'a i porównaj, w sesji masz zapsiane tą samą salt jaka została wysłana do użytkownika...postaraj się jeszcze o zabezpieczenie aby wartość salt była bardzo zróżnicowana i aby sienei powtarzała...oraz w skrypcie dodaj blokowanie wielokrotnego bvłędnego logowania - 10 pró w ciagu dnia - blokada ip na tydzień...u mnie działa extra... |
|
|
|
kliszaq i znowu bezpieczenstwo 1.10.2003, 15:40:26 
KaMeLeOn Cytat[...] i przy przesylaniu do pliku register.ph... 1.10.2003, 15:43:39 kliszaq a nie da sie gdzies po drodze wcisnac hashowani md... 1.10.2003, 15:57:28 Seth Tak. Mozesz pobrac przed wyslaniem pole z haslem i... 1.10.2003, 16:01:38 KaMeLeOn To nic nie da...
Podrodze będzie widać zahashowane... 1.10.2003, 16:01:51 kliszaq t ow takim razie teoretycznie mozna zlamac kazde h... 1.10.2003, 16:10:55 KaMeLeOn Nie teoretycznie - praktycznie... :? 1.10.2003, 16:12:25 uboottd i nie zlamac a przechwycic 1.10.2003, 16:29:40 uboottd A nie prosciej i pewniej uzyc SSL-a ? 1.10.2003, 19:43:44 Prometeus 1) ktoś nie ma dostępu do serwera z SSL
2) ktoś ni... 1.10.2003, 19:47:42 Seth Albo poprostu nie dawaj uzytkownikowi mozliwosci p... 1.10.2003, 19:50:05 Prometeus Seth dzięki...właśnie podałaeś mi świetny pomysł j... 1.10.2003, 19:53:20 uboottd Cytat1) ktoś nie ma dostępu do serwera z SSL
albo ... 1.10.2003, 20:05:54 Prometeus uboottd właśnie napisałem o hasła jednorazowych - ... 1.10.2003, 20:24:06 uboottd Problem polega na tym co dalej ?
Bo co po skomplik... 1.10.2003, 21:09:30 Prometeus To może system taki jak w PKO S.A. tj. w Pekao24
... 1.10.2003, 21:22:27 adwol Cytatuboottd właśnie napisałem o hasła jednorazowy... 1.10.2003, 23:16:47 
kliszaq qrcze to nie pozostaje nic innego jak zalozyc kont... 2.10.2003, 09:59:27  |
|
Aktualny czas: 3.10.2025 - 08:24 |
