Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 12
Повторюсь, если вы не решились прочитать пост.
Нету HTTP, нету браузера, нету кукисов.
Только сокеты.
Нету HTTP, нету браузера, нету кукисов.
Только сокеты.
Считаете, что игра не стоит свеч?
Согласен с этим. Но второй уровень безопасности может быть лишним?
Не всегда есть возможность использовать существующие инструменты.
Вот идея, которая давно сидит у меня в голове и которую я все никак не соберусь реализовать.
Много сайтов на популярной CMS, одно веб-приложение — единая панель управления сайтами.
Проблема в том, что сайты и панель управления могут устанавливаться пользователями на дешевых хостингах, а там ни ssl, ни https.
Вот идея, которая давно сидит у меня в голове и которую я все никак не соберусь реализовать.
Много сайтов на популярной CMS, одно веб-приложение — единая панель управления сайтами.
Проблема в том, что сайты и панель управления могут устанавливаться пользователями на дешевых хостингах, а там ни ssl, ни https.
Не всегда есть возможность компенсировать отсутствие необходимых инструментов креативом.
Допустим вам недоступен HTTPS и вы решили замутить какой-то кастомный протокол аутентификации с реализацией на JavaScript на клиентской стороне. Так вот — секьюрно это сделать в принципе невозможно, так как джаваскрипт приходит с сервера через незащищенное соединение, и по дороге с ним может случиться все что угодно. Да и сервер может быть не тем, за кого себя выдает.
Допустим вам недоступен HTTPS и вы решили замутить какой-то кастомный протокол аутентификации с реализацией на JavaScript на клиентской стороне. Так вот — секьюрно это сделать в принципе невозможно, так как джаваскрипт приходит с сервера через незащищенное соединение, и по дороге с ним может случиться все что угодно. Да и сервер может быть не тем, за кого себя выдает.
Аутентификация. Про авторизацию у вас нет ни слова.
Для смены пароля есть классическое решение — посылаем пару паролей: новый пароль, зашифрованный старым, и старый, зашифрованный новым.
Рекомендую почитать и разобраться в классических протоколах аутентификации — например Kerberos и NTLM (хотя последний стар как говно мамонта и MD5 сложно сейчас воспринимать всерьез — но в целом он спроектирован грамотно).
Для смены пароля есть классическое решение — посылаем пару паролей: новый пароль, зашифрованный старым, и старый, зашифрованный новым.
Рекомендую почитать и разобраться в классических протоколах аутентификации — например Kerberos и NTLM (хотя последний стар как говно мамонта и MD5 сложно сейчас воспринимать всерьез — но в целом он спроектирован грамотно).
Вопрос по поводу состава соли «пункт 2». К чему такой детерминизм? Почему-бы не использовать или что мешает в качестве соли задействовать просто случайную строку?
Увы мы ничего не сможем поделать с кейлогерами и другой насущной заразой, которая будет тырить прямые пароли, но хорошо помещаем злоумшленникам
Покажите экранную клавиатуру.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Максимально безопасная авторизация. Обсуждение алгоритма авторизации клиентов на сервере