Avatar billede j-e Nybegynder
04. marts 2010 - 20:00 Der er 13 kommentarer og
1 løsning

Kryptering af password

Er det ikke korrekt at hvis man har en login form og ikke bruger en ssl forbindelse så bliver det sendt med post i klar tekst som kan opsnappes?  Normal krypter man jo først med PHP når passwordet er blevet sendt med post.  Skal man evt. krypter det med noget javascript før det bliver postet? Eller hvad kan man gøre?
Avatar billede majbom Novice
04. marts 2010 - 21:03 #1
du kan kryptere med js eller benytte dig af https - alternativt skal du nok over i noget certifikat, men det er nok lidt overkill...
Avatar billede repox Seniormester
04. marts 2010 - 22:01 #2
#1
Du skal da have et certifikat for at have HTTPS? :) Uanset om det er hjemmelavet eller ej :)
Avatar billede kdasummer Nybegynder
04. marts 2010 - 22:22 #3
umiddelbart kunne du bruge javascript til at kryptere det, men så skal javascript-koden også scramples på en eller anden måde, så det er svært at se hvilken key du bruger. der findes ikke nogen bulletproof måde at gøre det på og selv med https kan der laves mitm-attacks ved at spoofe certicates. men hvis ikke du kan bruge https så som splazz siger - brug noget scrampled js-kode til at kryptere skidtet.
Avatar billede showsource Seniormester
05. marts 2010 - 04:54 #4
Jeg bruger altid dette js script ved login:
http://forums.devshed.com/clientscript/vbulletin_md5.js

Det krypterer indtastet password, og sætter krypteret værdi i et hiddenfelt, og tømmer passwordfeltet, så der på den måde ikke sendes "ren tekst" afsted.
Avatar billede majbom Novice
05. marts 2010 - 08:17 #5
-> #2 - hmm, det mente jeg ikke :) det er heller ikke noget jeg har arbejdet med. tak for rettelsen :)

jeg plejer også at bruge et script a la det showsource linker til...
Avatar billede repox Seniormester
05. marts 2010 - 10:19 #6
A ren og skær nysgerrighed - hvordan kan det så være at I vil sikre jer at der ikke er nogen der sniffer trafikken mellem jeres server og klienten?
Personligt mener jeg det må være klientens ansvar at forbindelsen mellem websitet og browseren er tilstrækkelig sikker. Ikke kun for at sikre kommunikationen mellem min løsning og klienten, men også generelt i forbindelse med andre løsninger?
Det er vigtigere for mig, som bruger af et site, at jeg ved min kode ikke kan aflæses ved at kigge i backenden - det er typisk SQL injections og andre sårbarheder der er på diverse online applikationer. At jeg så sender mit password i clear text anser jeg ikke som en større sikkerhedsrisiko end hvis uvedkommende får adgang til mine oplysninger i databasen.
Avatar billede j-e Nybegynder
11. marts 2010 - 23:30 #7
Tak for de mange kommentarer, tror jeg er blevet klogere nu. Så smid lige nogle svar.
Avatar billede showsource Seniormester
12. marts 2010 - 09:57 #8
#6 Det er vel trods alt nemmere at få fat i div. computere ( lægge noget snavs ind ) som bruges af "alm." brugere, end at skulle hacke sig ind på en server ?

Anyway, er det jo absolut ingen skade til at man prøver at sikre så meget som man nu kan ?

Hvordan du har det med de scripts du laver, serversetup etc. er jo "lukket land" for brugeren.

Og jeg springer point over her.
Avatar billede majbom Novice
12. marts 2010 - 10:15 #9
jeg hopper også over her :)
Avatar billede j-e Nybegynder
28. juli 2010 - 15:07 #10
Lukker
Avatar billede ksoren Nybegynder
28. juli 2010 - 15:29 #11
Det kan da tilføjes at det ikke rigtig afhjælper sniffer-problemet, at man hash'er passwordet i js før afsendelse. Sniffer man den hash, så kan man jo stadig logge ind som denne bruger...

HTTPS løser problemer ved at benytte asymmetrisk kryptering.
Avatar billede showsource Seniormester
28. juli 2010 - 20:38 #12
njahh, ikke helt ksoren, fordi de tegn som sendes afsted, bliver jo efterfølgende md5 krypteret på serveren.

Men hvis snavs ligger på brugers computer, er det jo lige meget .....
Avatar billede ksoren Nybegynder
28. juli 2010 - 23:45 #13
hvis mit password er "ksoren"
og jeg omdanner det til md5 "6b8ae2ab908170c51a233c8487d9f8b3" i js
og sender denne hash afsted...

Hvad sammenligner du så den med på serveren?
Avatar billede showsource Seniormester
29. juli 2010 - 06:23 #14
Ja, jeg var pissetræt og tænkte med røven.
Og lige for tiden er der for langt i mellem at jeg roder med php.

Glem endelig min kommentar i #12
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester