zabezpieczenie danych POST przed podsłuchem Opcje

[!*!]

Chodziło o to, abyś robił to w podobny sposób z solą, base64+sól trochę przestrzeliłem ;) W PHP za pomocą crypt, mcrypt, ale w C zapewne coś zjadą podobnego.

http://blog.justin.kelly.org.au/simple-mcr...unctions-for-p/

itd.

Ten post edytował !*! 21.10.2013, 10:24:36

[redeemer]

Oprócz szyfrowania danych w całości, możesz też w każdym poście dołączać tzw. sumę kontrolną tych danych (generowaną w jakiś sposób na podstawie daty, id urządzenia, unikatowego klucza itp). Po stronie serwera robisz to samo, obliczasz sumę kontrolną i porównujesz z przesłaną. Algorytm obliczania sumy kontrolnej musisz uzgodnić z programistami C/C++ bo to zależy od urządzenia, ale nawet układy Atmel AVR poradzą sobie np. z md5.

Ten post edytował redeemer 21.10.2013, 10:32:55

[gitbejbe]

udało mi się już w php napisać fajny skrypt. Dzięki az naprowadzenie : ) Ciekawe własnie tylko czy chłopaki od C poradzą sobie z md5,base64 i mcrypt. Z tego co widziałem jak wygląda takie programowanie niskopoziomowe, to będa mieć porpost przzesrane... ciekawe też czy sprzęt wydoli

[buliq]

A nie prościej: kluczem ?

[gitbejbe]

tak, czytałem o tym RSA. Tak czy siak jeśli szyfruje wszystkie dane to zabawa w klucze prywatne i publiczne nie jest potrzebne. Idea z jenym kluczem do szyfrowania dla urzadzenia i serwera jest dla mnie super : ) nie ma opcji tego złamać, bo tak naprawde klucz można bedzie wykraść tylko poprzez włamanie na serwer. W dodatku takie coś rozwiązje moje wszystkie problemy i mogę spac spokojnie : )

temat do zamknicia, jeszcze raz dzieki za pomoc : )

Ten post edytował gitbejbe 21.10.2013, 12:02:56

[phpion]

Problem rozwiązany, ale podam też inne rozwiązanie. Zobacz na jakiej zasadzie dane zabezpieczają m.in. systemy płatności. Masz jakieś dane do wysłania POSTem:

[PHP] pobierz, plaintext 
$post = array(
	'name' => 'Jan',
	'surname' => 'Kowalski'
);
[PHP] pobierz, plaintext 

Dokładasz do nich timestamp, czyli czas kiedy zostają przesłane:

[PHP] pobierz, plaintext 
$post['ts'] = time();
[PHP] pobierz, plaintext 

Na postawie tablicy danych budujesz sumę kontrolną, np.:

[PHP] pobierz, plaintext 
$post['checksum'] = md5(http_build_query($post));
[PHP] pobierz, plaintext 

Takiego posta przesyłasz do serwera. Po stronie serwera sprawdzasz czy przesłana suma kontrolna odpowiada obliczonej przez Ciebie (z pominięciem parametru checksum). Dodatkowo sprawdzasz wartość przesłanego znacznika czasu (czy pochodzi np. sprzed X sekund). Jeśli wszystko się zgadza - przetwarzasz żądanie. Jeśli ktoś przechwyci dane, zmodyfikuje i prześle ponownie to zatrzyma się na obliczaniu sumy kontrolnej. Jeśli ich nie zmodyfikuje, ale prześle je po upływie X sekund od momentu utworzenia znacznika czasu - zatrzyma się na sprawdzaniu znacznika. Jedyne co może zrobić to przesłać je ponownie w przeciągu X sekund. Wówczas wyjściem byłoby tworzenie w bazie tokenów pozwalających na wysłanie danych i usuwanie ich po przesłaniu danych.