Почему авторизация на .htaccess небезопасна?

[Фанат]

Leonid, короче.
про перехват тебе здесь никто ничего рассказывать не будет.
если интересно - читай технологию TCP/IP и HTTP. Скажу лишь, что ситуация это чисто гипотетическая. и особо на эту тему можно не париться.

Но если же ты всё-таки хочешь сделать защищённую передачу, то читай, что я написал.
там всё написано. Если ты ваообще ни слова не понял, то повышай сначала базовый уровень знаний.

 

[Leonid]

Нет, я ничего не слышал про SSL. По этому и спрашиваю.
Фанат, а по русски про это SSL Ничего нет?

 

[chisto_tolyan]

2 Leonid
http://google.ru

 

[crocodile2u]

http://inssl.com/content/view/13/26/

 

[Фанат]

Leonid
заходишь на яндекс, пишешь "Что такое SSL?"

 

[Toxic_Cat]

ИМХО SSL такому порталу нах не нужен...

Я надеюсь Вы Леонид скрипты от SQL инъекций защитили? И каждую переменную перед подстановкой обрабатываете?

Если Вы этого не делаете то нечего даже и думать о каком-то там "перехвате"....

-~{}~ 20.12.05 10:32:

Автор оригинала: Leonid
Нет, я ничего не слышал про SSL. По этому и спрашиваю.
Фанат, а по русски про это SSL Ничего нет?

Вы извините но как можно задавать такой вопрос сделав кучу сайтов?

 

[Leonid]

Переменные обрабатываю, правда когда был НУ ОЧЕНЬ НЕ ГРАМОТНЫМ, в первых проектах, что получил, то и вставил в SQL-запрос. Теперь то конечно так не делаю...

-~{}~ 20.12.05 11:49:

SSL Я перепутал с SSH...
Я просто не знал что HTTPS это технология SSL

 

[vinslave]

Автор оригинала: Фанат
обсуждалось много раз.
сервер в форму кладёт случайное слово, которое пишется в сессию.
яваскрипт прибавляет к этому слову пароль и делает мд5 из этого и отсылает серверу
сервер делает то же самое, сравнивает и пускает.

примерно так работает и Digest HTTP авторизация, так что, и не "на .htaccess " можно написать безопасную авторизацию

а что мешает злоумышленнику выцепить из формы это твое случайное слово и проделать те же операции, что и ява-скрипт? Другое дело, что можно каждый раз подставлять разные алгоритмы. Тут уже повозиться придется. А что если ява-скрипт отключен или не поддреживается или глючит?

 

[Фанат]

выцепить из формы это твое случайное слово и проделать те же операции, что и ява-скрипт

то, что он не знает того, что знает яваскрипт.

А что если ява-скрипт отключен или не поддреживается

такая авторизация работать не будет. Ты уже большой мальчик, мог бы и сам ответить на этот вопрос.

или глючит?

пойти к доктору.

 

[master_x]

у авторизации с яваскриптом есть один недостаток, у пользовтеля может яваскрипт отключен. Но ведь это же "бюджетный способ"... Если надо серъезное, то лучше SSL

 

[Toxic_Cat]

Я даже и не слышал никогда об авторизации методом яваскрипта, не говоря о том, чтобы юзать...

Вообще яваскрипт я никогда не юзал, не люблю я его... Яваскрипт Off и все...

Леонид я настоятельно рекомендую подумать еще раз, а оно Вам надо? Кому надо ломать этот портал? Что он с этого поимеет? Почему нельзя положиться на БЭКАПЫ? Хотя к моей рекомендации можно и не прислушиваться

 

[master_x]

Toxic_Cat

авторизации методом яваскрипта

нету такого метода. есть только самописная функция (аналог md5 в PHP [m]md5[/m]), реализованная на яваскрипте, которая хеширует данные пользователя (в большинстве случаев пароль) со специальными секретными данными... в общем на первой странице описали как это происходит. В любом случае в результате этих манипуляций пароль идет по сети не в открытом виде.

 

[vinslave]

Автор оригинала: master_x
Toxic_Cat

нету такого метода. есть только самописная функция (аналог md5 в PHP [m]md5[/m]), реализованная на яваскрипте, которая хеширует данные пользователя (в большинстве случаев пароль) со специальными секретными данными... в общем на первой странице описали как это происходит. В любом случае в результате этих манипуляций пароль идет по сети не в открытом виде.

JavaScript вообще нечего использовать без особой на то необходимости. И вообще нужно создавать страницы так, чтобы функциональность сайта не зависела от JS. Есть, разумеется исключения. TYPO3, например.

 

[Фанат]

я бы попросил нуе устраивать в этом топике оффтопика.
спасибо.

 

[vinslave]

.

 

[Сергей123]

Я всё-таки выскажусь про отсутствие JavaScript'а и неработающую авторизацию.
vinslave, Toxic_Cat,
естественно, подразумевается, что описанная авторизация просто станет менее секьюрной при отсутствии JavaScript'а (а не перестанет работать), т.к. никто не мешает на стороне сервера определять, как проверять пароль - через хэш (если он слался не в открытом виде) или как обычно (если не было JS и он слался в открытом виде).

 

[Фанат]

я тут подумал.
если, кстати, пароль в базе тоже хранится в виде хэша, то яваскрипт должен это дело учитывать. сначала сделать хэш из пароля, потом прибавить секретное слово, потом сделать хэш из полученного, и отсылать. сервер, соответственно, по логину лезет в базу, получает хэш, делает те же операции и сличает.
так, наверное

 

[whirlwind]

> говорят, что такой способ авторизации небезопасен

Прально говорят

http://httpd.apache.org/docs/1.3/howto/auth.html#basicfaq

Although the password is stored on the server in encrypted format, it is passed from the client to the server in plain text across the network.

 

[vitus]

когда у человека параноя, его лучше в сейф спрятать.

а через HTTP всё идёт как plain text и что мешает перехватить этот хэшь? и не нужен никакой пароль.

 

[master_x]

Фанат
так оно и происходит