Witam,
zastanawiam się czy to bezpieczne.
w pliku logowanie.php mam formularz z logowaniem. Pobrane z formularza dane przesyłam ajaxem metodą get do pliku sprawdzającego poprane haslo i login.
Ale wydaje mi sie ze to przeslanie jest dosc niebezpieczne.
Czy jest metoda żeby to jakos 'ukryc'?
firebug:
GET http://localhost/tags/checkLog.php?login=a...amp;haslo=admin
Dzięki za pomoc.
Pełna wersja: [AJAX][PHP]Bezpieczeństwo hasła
W publicznych sieciach będzie to banalne do wyłapania. Poziom bezpieczeństwa jest ten sam o logowanie formularzem GET/POST bez ajaksa - de facto wykonujesz to samo.
Użyj ssl jeśli chcesz być spokojny.
Użyj ssl jeśli chcesz być spokojny.
A np można przed wysłaniem ajaxem zahashować hasło? Jakimś odpowienikim md5?
Czy to raczej nie możliwe? Albo głupi pomysł
Czy to raczej nie możliwe? Albo głupi pomysł
To dlaczego nie wyślesz tego POSTem ?
A czy to coś zmieni?
ogólnie to nie rozumiem co dokładnie chcesz osiągnąć ? Oczywiście ze zmieni. Bo plik admin.php czy jaktotam zwiesz, do którego ajaxem wysyłasz dane odbiera je poprzez GET i tu się zaczynają zabawy z adresem. A nie każdy domorosły cracker wie co to cURL np.
Post nic nie zmienia 
Możesz hashować JSem, tym samym algo, którym hashujesz hasła w DB - ale wtedy:
1. Nie używasz soli.
2. Ujawniasz sól w JS
Posio
POST czy GET... zmienia tylko tyle, że w POST nie widać czegoś w adresie
Wystarczy pierwszy lepszy sniffer i nie ma znaczenia czy to był POST czy GET. Wszystko leci plaintextem.
Możesz hashować hasło w JS, tym samym algo co w DB, ale:
1. nie używasz wtedy soli.
2. Ujawniasz sól w JS
Możesz hashować JSem, tym samym algo, którym hashujesz hasła w DB - ale wtedy:
1. Nie używasz soli.
2. Ujawniasz sól w JS
Posio
POST czy GET... zmienia tylko tyle, że w POST nie widać czegoś w adresie
Wystarczy pierwszy lepszy sniffer i nie ma znaczenia czy to był POST czy GET. Wszystko leci plaintextem.
Możesz hashować hasło w JS, tym samym algo co w DB, ale:
1. nie używasz wtedy soli.
2. Ujawniasz sól w JS
pozostaje ssl czy istnieje jakaś inna w miare bezpieczna metoda ?
Ale jaki jest twój problem? Wysyłając ajaxem robisz to samo co wysyłając formularz. Czy wysyłając formularz martwisz się jakoś szczególnie o widoczność tych danych?
Ale przed czym ty chcesz się konkretnie bronic nam powiedz, bo nie rozumiem...
Ale co chcesz osiągnąć? Jeśli Twoi użytkownicy nie wydają w Twoim serwisie grubej kasy i dasz info, aby się nie logować w publicznych sieciach itd... to nie ma to wielkiego znaczenia.
Zobacz ile serwisów nie ma logowania po SSL, nawet facebook kiedyś nie miał i powstała aplikacja pozwalająca każdemu poznać hasła wszystkich którzy się logują w obrębie sieci do której jesteś połączony
Zobacz ile serwisów nie ma logowania po SSL, nawet facebook kiedyś nie miał i powstała aplikacja pozwalająca każdemu poznać hasła wszystkich którzy się logują w obrębie sieci do której jesteś połączony
Ok.
To w takim razie inaczej zadam pytanie;) W jaki sposób stworzyć bezpieczny system logowania?
Pytam tylko i wyłącznie w celach edukacyjnych. Nie sądze żebym kiedykolwiek przechowywał aż tak tajne i kosztowne informacje.
To w takim razie inaczej zadam pytanie;) W jaki sposób stworzyć bezpieczny system logowania?
Pytam tylko i wyłącznie w celach edukacyjnych. Nie sądze żebym kiedykolwiek przechowywał aż tak tajne i kosztowne informacje.
Użyj SSL
SSL 
Musisz jakoś przesłać dane ze strony na serwer, czy to ajaxem, getem, postem, czy jeszcze czyms innym - to wszystko można podejrzeć.
Dasz hashowanie/szyfrowanie w JS - można podejrzeć.
Musisz jakoś przesłać dane ze strony na serwer, czy to ajaxem, getem, postem, czy jeszcze czyms innym - to wszystko można podejrzeć.
Dasz hashowanie/szyfrowanie w JS - można podejrzeć.
jeśli chcesz utworzyć bezpieczy system logowania to przede wszystkim filtracja danych podawanych przez użytkownika. Zabezpieczenie się przez SQLInjection XSS i innymi atakami. SSL nic nie da jeżeli twój skrypt będzie podatny na podstawowe ataki.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.