Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php][HTML][Java?] Pytanie o hasła
Forum PHP.pl > Forum > Przedszkole
Reinexen
27.05.2007, 21:22:03
Witam,
czy wiecie może jak kodować hasła i czy jest to potrzebne. Chodzi mi dokładniej o następujące hasło:
W Panelu Admina, aby się zalogować musimy wpisać hasło. Jest ono przesyłana dzięki następującemu kodowi HTML do serwera:
[HTML] pobierz, plaintext 
  1. <form action="check.php" method=POST>
  2. Login:<input name="login"><br>
  3. Haslo:<input type=password name="pass">
  4. <input type=submit>
  5. </form>
[HTML] pobierz, plaintext

Z tego co się orientuje to jest ono niekodowane na tej drodze i łatwe do przechwycenia. Czy da się je jakoś zabezpieczyć (zakodować) jeszcze na komputarze użytkownika?
Pozdrawiam.
legorek
27.05.2007, 21:38:22
Po pierwsze:
[HTML] pobierz, plaintext 
  1. method="post"
[HTML] pobierz, plaintext

nie
[HTML] pobierz, plaintext 
  1. method=POST
[HTML] pobierz, plaintext

i
[HTML] pobierz, plaintext 
  1. type="password"
[HTML] pobierz, plaintext

nie
[HTML] pobierz, plaintext 
  1. type=password
[HTML] pobierz, plaintext

i
[HTML] pobierz, plaintext 
  1. type="submit"
[HTML] pobierz, plaintext

nie
[HTML] pobierz, plaintext 
  1. type=submit
[HTML] pobierz, plaintext

Po drugie da się zaszyfrować lub zachaszować, pytanie po co? Jeśli ktoś przechwyci zakodowane hasło, czy sumę kontrolną to i tak możesz przesłać je jako swoje i oszukać. Jakimś wyjściem byłoby za każdym razem korzystanie z innego klucza przy kodowaniu czy innej soli przy hashowaniu ale i serwer i klient musieliby znać zestaw kluczy czy soli. Tak więc same problemy i pchanie się w niepotrzebne kombinacje.

Jedyne rozsądne rozwiązanie: puścić logowanie po SSL.
czachor
27.05.2007, 22:14:29
Myślę, że nie ma sensu kodować. Czy jest takie łatwe do przechwycenia... Jakoś wszyscy korzystają i nikt nie narzeka na ten w sumie prosty sposób logowania.

Pozostaje chyba tylko SSL tak jak wspomniał @legorek, jak bardzo tego chcesz.
Darti
28.05.2007, 08:37:16
Cytat
Z tego co się orientuje to jest ono niekodowane na tej drodze i łatwe do przechwycenia. Czy da się je jakoś zabezpieczyć (zakodować) jeszcze na komputarze użytkownika?

Kodować na komputerze użytkownika ? To tak jak by wcale nie kodować smile.gif
SSL kolego smile.gif
szmerak
28.05.2007, 15:34:30
Iegorek przecież jak piszesz jedno polecienie np. 
[HTML] pobierz, plaintext 
  1. method=POST
[HTML] pobierz, plaintext

to nie musisz przecież dawać "POST" co innego jak piszesz dwu wyrazowe smile.gif więc...
Kicok
28.05.2007, 20:00:10
To, że przeglądarki wybaczają takie błędy, to jeszcze nie znaczy, że można sobie pisać wartości atrybutów bez cudzysłowu. Trzeba nabierać dobrych nawyków już na starcie ;]
Sabistik
28.05.2007, 20:16:43
Polecam zapoznanie sie z kryptografia asymetryczną RSA.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.