McLotos
Полная Версия: Шифрование принятых данных
| Цитата |
| Две части ключа это хорошо, даже очень, а что если обе части будут динамические? |
А каким образом вы себе это представляете?
_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
Ну например основываясь на session_id сервер создаёт какое-то число хитрым алгоритмом, а на стороне клиента js генерирует случайное число а дальше с использованием этих двух чисел генерируется ещё один ключ, который и используется для шифрования информации пока пользователь на сайте, как в алгоритме Диффи Хэллмана
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
McLotos
ок, вот вам три вопроса:
1. Как сервер узнает о числе, сгенерированном на стороне клиента?
2. Как клиент узнает о числе, сгенерированном на стороне сервера?
3. Какое отношение это имеет к хешированию паролей?
_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
ок, вот вам три вопроса:
1. Как сервер узнает о числе, сгенерированном на стороне клиента?
2. Как клиент узнает о числе, сгенерированном на стороне сервера?
3. Какое отношение это имеет к хешированию паролей?
_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
1. AJAX
2. При получении информации с сервера, допустим AJAX
3. Никакого. Это просто попытка понять есть ли какой-то более логичный способ защиты чем просто хранение хэша в базе =)
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
2. При получении информации с сервера, допустим AJAX
3. Никакого. Это просто попытка понять есть ли какой-то более логичный способ защиты чем просто хранение хэша в базе =)
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
McLotos
| Цитата |
| 1. AJAX 2. При получении информации с сервера, допустим AJAX |
Что помешает злоумышленнику перехватывать эти AJAX запросы или самому их выполнять?
_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
vagrand
| Цитата |
| у меня есть 100% гарантия защищенности сервера базы данных. |
Даже если комп выключен и закопан на 3-х метровую глубину, это не может дать 100% гарантии.
А по сути. Если человек пользуется одним паролем везде, и знает, что у тебя они хранятся в открытом виде, то на кого он подумает в первую очередь, если взломают его учетку в каком-нибудь банке? Нужна ли такая ответственность?
Я вот знаю такой ресурс, где пароли хранятся в открытом виде. Это AGAVA, совсем не последний скажем ресурс. И чёт мне не уютно, хотя и пароль там у меня уникальный.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
А по сути. Если человек пользуется одним паролем везде, и знает, что у тебя они хранятся в открытом виде, то на кого он подумает в первую очередь, если взломают его учетку в каком-нибудь банке? Нужна ли такая ответственность?
Я вот знаю такой ресурс, где пароли хранятся в открытом виде. Это AGAVA, совсем не последний скажем ресурс. И чёт мне не уютно, хотя и пароль там у меня уникальный.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
twin
А откуда ты знаешь что пароль хранится в открытом виде? Ведь если при клике по ссылке "забыл пароль" ты получаешь смской свой пароль это ещё не значит что он в базе лежит в открытом виде.
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
А откуда ты знаешь что пароль хранится в открытом виде? Ведь если при клике по ссылке "забыл пароль" ты получаешь смской свой пароль это ещё не значит что он в базе лежит в открытом виде.
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
| Цитата (McLotos @ 5.09.2014 - 10:54) |
| twin А откуда ты знаешь что пароль хранится в открытом виде? Ведь если при клике по ссылке "забыл пароль" ты получаешь смской свой пароль это ещё не значит что он в базе лежит в открытом виде. |
С этого места поподробнее. Если мне приходит именно мой пароль, а не новый, то он хранится в открытом виде. Шифрование не подходит, ибо имея доступ к серверу, имеется доступ и к ключам и к алгоритму. На то и хэш, чтобы небыло возможности "расшифровать". Всё остальное - открыто. Пусть даже и не явно.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата (twin @ 5.09.2014 - 16:57) |
| имея доступ к серверу, имеется доступ и к ключам и к алгоритму |
технически на сколько это реально?
Получить доступ и к БД и к алгоритму и к исходному коду
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
McLotos
Это гораздо реальнее, чем ты думаешь. Кроме технических возможностей, есть еще и социальные. Вон Сноуден ЦРУ слил, ты не допускаешь возможности засланного козачка из персонала? Ну если ты только сам на сам работаешь, о чем тогда вообще может идти речь...
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Это гораздо реальнее, чем ты думаешь. Кроме технических возможностей, есть еще и социальные. Вон Сноуден ЦРУ слил, ты не допускаешь возможности засланного козачка из персонала? Ну если ты только сам на сам работаешь, о чем тогда вообще может идти речь...
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата (twin @ 5.09.2014 - 17:20) |
| еще и социальные |
Социальная инженерия?
Мы говорим о базе данных среднестатистического сайта или о базе данных пентагона? =)
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
McLotos, попускаешь мысль, что сайт пентагона защищён лучше чем твой?
Но при этом и пентагон пару лет назад взламывали
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
Но при этом и пентагон пару лет назад взламывали
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
| Цитата (DedMorozzz @ 5.09.2014 - 17:29) |
| Но при этом и пентагон пару лет назад взламывали |
Я почти 10 лет проработал админом, и я прекрасно знаю что идеальной системы безопасности просто не существует, вопрос только в методах защиты и времени которое нужно на обход. Если защита построена хорошо, то мне хватит времени чтобы поймать того кто пытается её обойти. Но тут уже человеческий фактор. А я говорю о чисто гипотетической возможности построить защиту информации на сайте, которую нельзя обойти. Ну т.е. как я уже говорил в самом начале, все юзают md5 + ключ, почему? Неужели нет другого способа защитить данные?
Ведь зная метод защиты можно легко найти способ его обхода, сейчас уже есть даже онлайн сервисы, которые могут дать подсказку в этом направлении. Ну например мы все убеждены что невозможно получить исходный текст по его md5, откуда мы это знаем? Может это не совсем так?
Но даже если мы не найдем исходные данные мы может найти текст который будет совпадать при шифровании тем же способом.
_____________
программирование - инструмент для решения конкретных задач, любая попытка спроектировать что-то универсальное приведет к провалу.©paul85
В любом случае тебе прийдётся пройти путь изобретения велосипеда, который прошли другие, только причиной твоего изобретения будет непонимание принципов работы велосипеда изобретённого другими людьми.©SlavaFr
jQuery это попытка использовать АН-225 для перевозки зубочистки
twin
| Цитата |
| Даже если комп выключен и закопан на 3-х метровую глубину, это не может дать 100% гарантии. А по сути. Если человек пользуется одним паролем везде, и знает, что у тебя они хранятся в открытом виде, то на кого он подумает в первую очередь, если взломают его учетку в каком-нибудь банке? Нужна ли такая ответственность? Я вот знаю такой ресурс, где пароли хранятся в открытом виде. Это AGAVA, совсем не последний скажем ресурс. И чёт мне не уютно, хотя и пароль там у меня уникальный. |
А чего ты мне это написал?
_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
McLotos
Ты так и не ответил на мой вопрос.
_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
Ты так и не ответил на мой вопрос.
_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
Здесь расположена полная версия этой страницы.