Rusan 5 июн 2009 в 18:13

Digest authentication vs POST authentication

1 мин

Чулан

-4

Комментарии 25

bappoy 5 июн 2009 в 18:59

Проверка орфографии, грамматики и пунктуации перед отправкой поста спасет от минусов. А также перечитывание вслух.

Rusan 5 июн 2009 в 19:03

Да вот вопрос о минусах не стоит. Я не их тех, кто кричит — минусующие, скажите почему. Если минусуют — значит топик не интересный. Минусовать за ошибки — ну их дело, пусть минусуют. Мне важно получить ответ на мой вопрос. Не хотите по существу отвечать — ну не стоило.

galaxy 5 июн 2009 в 19:19

Дайджест не компрометирует пароль. Сервер сначала высылает соль, клиент ему отвечает соленым хешом от пароля, так что replay атаки не пройдут, при условии, что соль высылается разная каждый раз.
Спереть SID, конечно, можно всегда, если есть возможность слушать трафик (и нет SSL).

Rusan 5 июн 2009 в 19:21

Ну так сол выслалась разная, но я то знаю старую соль и под неё хеш пароля, сперев это — будет достаточно. Вариант хранить все использованные соли — нереальный.

galaxy 5 июн 2009 в 19:24

Никогда не использовать (или свести к ничтожной вероятность использования) соль повторно — ключевой момент подобных схем авторизации.
Хранить их все и необязательно, можно использовать какой-нибудь автоинкремент.

Rusan 5 июн 2009 в 19:26

как мне защитится от того что бы украв соль + хеш от соли хацкер не мог воспользоваться? я не вижу другого момента кроме как хранить использованые соли. Или я что-то не понимаю?

galaxy 5 июн 2009 в 19:33

Соль-то контролируете Вы, сделайте так, чтобы она не повторялась (или повторение в этой жизни было бы невероятно) — храните в базе/файле последнее значение и увеличивайте на 1 каждый раз, или используйте время с микросекундами, или длинный random number.

Rusan 5 июн 2009 в 19:41

ну так вопрос в том что я выслал клиенту соль=5 и он хешнул пароль с ней и выслал мне обратно H(5) и 5, злоумышленик перехватил H(5) и 5 и посылает их мне — как мне понять что это злоумышленик послал, а не клиент? Клиентов много пока я послал соль = 5 и получал хэш я еще послал и 6 и 7 и… 150 до клиентов. Как мне заодно клиента не принять за хацкера? То есть хранить пока соль мне не вернулась, а как только вернулась убить? То есть почти вариант — хранить всё но удалять заюзаные?

galaxy 5 июн 2009 в 19:47

То есть хранить пока соль мне не вернулась, а как только вернулась убить?

Конечно. Привяжите ее к чему сможете (IP, логин etc), задайте время жизни. Digest не защитит от MITM (man-in-the-middle), если Вы об этом.

Rusan 5 июн 2009 в 19:50

Ну то есть дигест лучше только тем, что пароль не шлётся открытым? А минусы — как невозможность нормального logout и невозможность нормальной формы — имеет?

galaxy 5 июн 2009 в 19:56

Типа того.
Аналог digest можно и на AJAX сделать, а дальше таскать обычный SID в куках.
Проще, конечно, завернуть в SSL и забыть.

Rusan 5 июн 2009 в 21:41

на ajax? да вы смеетесь, ajax логин и пароль передаёт в виде login:pass@url/ что на мой взгляд еще более опасно чем СИД.

galaxy 5 июн 2009 в 22:13

Не, я про то, что на жаваскрипте можно написать клиентскую часть, которая будет шифровать соль с паролем. Где-то тут проскакивал тред, автор которого доказывал, что ссл небезопасен и перехватывается троянами и предлагал шифровать жаваскриптом в частности.

Rusan 5 июн 2009 в 22:15

то есть если я такой умный хацкер что могу снифить — неужто я не смогу взять со страницы JS и понять как он шифрует? :) Ну прикольно. Да даже если во флеш завернуть, то флеш декомпильнуть можно :), но уже вопрос — будет ли взлом стоить потраченных на него денег.

galaxy 5 июн 2009 в 22:20

В треде, про который я упоминал, есть доля здравого смысла: я могу допустить, что есть троян, который встраивается в нужный API и шпионит за SSL трафиком в поисках паролей, номеров кредиток и прочих полезностей. Мне сложнее представить, что написан троян, который встраивается в Javascript движок конкретного браузера и выковыривает что-то из кода, написанного под конкретные сайты.

Rusan 5 июн 2009 в 22:22

бррр… зачем мне нужен троян при снифе. Я просто вижу заголовки, вижу какой сайт, захожу на сайт и получаю JS и разбираю его.

Psih 5 июн 2009 в 21:14

Куку просто делайте с уникальным ID + REMOTE_ADDR. Даже если во время сессии юзера перехватстя куку — использовать её не с IP пользователя не выйдет. Ещё вариант — держать в сессии IP юзера и если он не совпадает — logout с уничтожением сессии, заодно и прологируйте что такая проблема, возможно где-то что-то прошляпили.

Rusan 5 июн 2009 в 21:42

Вы реально думаете IP подделать сложно?

galaxy 5 июн 2009 в 22:16

Если Ваш клиент со злоумышленником за одним NATом сидят, то и подделывать ничего не надо. Если они из разных подсетей с разными внешними IP, то это нереальный геморрой практически, ибо тот, кто подделывает IP просто не получит посланные ему пакеты.

Rusan 5 июн 2009 в 22:20

Проблема с динамическими ИП… Чуваку каждый раз логинеться придётся. Ведь возможно представить ситуацию, когда не выключая броузера я получил новый ИП… Сложно, но можно.

Psih 5 июн 2009 в 23:09

Ну либо безопасность, либо удобство. Ничего не поделаешь.

Rusan 5 июн 2009 в 23:11

мне не важно безопасность или удобство, если читать топик, то мне важно понять преимущество одно над другим. Но это одно не безопасность и другое не удобство.

abrwalk 5 июн 2009 в 23:21

незнаю как в других браузерах, но в опере при basic auth явно предупрежается о небезопасном логине, довольно удобно

Rusan 5 июн 2009 в 23:26

реально рад

Rusan 5 июн 2009 в 21:42

в смысле REMOTE_ADDR?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий