безопасная авторизация без шифрования возможна?
Доброе время суток!
Вчера пока гулял с собакой, весь мозг вынес, короче такая ситуация: между сервером и клиентом используется обычное соединение, третье лицо перехватывает данные, т.к. можно извратиться чтоб перехваченные данные были бессмысленны?
Есть такая идея: сохранять на время работы не авторизованного пользователя псевдо случайный id (генерируется и сохраняется в базе при первом проходе и потом висит у пользователя и на сервере в дб) что-то типа ключа, в котором будет информация о методе де шифрования данных, по этому ключу JS шифрует данные переданные серверу от пользователя. но если злоумышленник перехватывает данные с начала сеанса (первого прохода по сайту) то всё становиться бессмысленно. может есть у когото идеи? может в качестве ключа использовать что-то из системы пользователя?
P.S. я имею ввиду без использования ssh
Вчера пока гулял с собакой, весь мозг вынес, короче такая ситуация: между сервером и клиентом используется обычное соединение, третье лицо перехватывает данные, т.к. можно извратиться чтоб перехваченные данные были бессмысленны?
Есть такая идея: сохранять на время работы не авторизованного пользователя псевдо случайный id (генерируется и сохраняется в базе при первом проходе и потом висит у пользователя и на сервере в дб) что-то типа ключа, в котором будет информация о методе де шифрования данных, по этому ключу JS шифрует данные переданные серверу от пользователя. но если злоумышленник перехватывает данные с начала сеанса (первого прохода по сайту) то всё становиться бессмысленно. может есть у когото идеи? может в качестве ключа использовать что-то из системы пользователя?
P.S. я имею ввиду без использования ssh
И в каком же месте оно без шифрования?
Цитата:
JS шифрует данные
Тогда просто взять шифрование с открытым ключом.
третье лицо перехватывает данные, смотрит алгоритм шифрования (JS всетаки) и расшифровывает, или отправляет в обход JS
Данные зашифрованные алгоритмом шифрования с открытым ключом "просто так" не расшифруешь. Ни знание алгоритма, ни знание открытого ключа не поможет. Зашифровать - можно, расшифровать - нет.
спс, погуглю открытый ключ. а может есть у кого ссылочки?
Имхо, википедия будет неплохим началом.
Полностью ни как у тебя не получиться защититься. Можно писать IP входящего в сессию и сверять с какого IP приходит ключ сессии, но чаще всего перехват идет на "последней миле" за NAT-ом и для сервера IP авторизованного пользователя и атакующего равны.
Так что наиболее приемлемый метод на данный момент это соединение по HTTPS и самоподписанный сертификат.
Так что наиболее приемлемый метод на данный момент это соединение по HTTPS и самоподписанный сертификат.
Цитата: alekciy
Полностью ни как у тебя не получиться защититься. Можно писать IP входящего в сессию и сверять с какого IP приходит ключ сессии, но чаще всего перехват идет на "последней миле" за NAT-ом и для сервера IP авторизованного пользователя и атакующего равны.
Так что наиболее приемлемый метод на данный момент это соединение по HTTPS и самоподписанный сертификат.
Так что наиболее приемлемый метод на данный момент это соединение по HTTPS и самоподписанный сертификат.
Мы алгоритм шифрования на пхп годика два назад не закончили )) есть желание продолжить? ))
Цитата: Fenyx
Мы алгоритм шифрования на пхп годика два назад не закончили )) есть желание продолжить? ))
Нет, нету :) . Не вижу смысла. Нужно уметь использовать готовые решения.
Да и не о шифровании в данном случае я говорю.