Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: v cem je hlavni vyhoda a duvod pouzivani HTTPSa jak na spravu uzivatelu na webu  (Přečteno 835 krát)

karlitos

  • Stálý člen
  • **
  • Příspěvků: 1057
  • Bioinformatics - solutions in-silico
    • homepage
Zdravim

Mel bych takovy - spise vseobecny dotaz. Konfiguruju si ted takovy miniserver - je to vlastne NAS zarizeni s par pridanymi funkcemi, krome jineho na nem bezi lighttpd. No a nahral jsem na nej par rozsireni - takovy uplne jednodcuhy webovy manager a pak PHP aplikaci kde muzu delat webove galerie ... Oboji je sice velmi user-friendly ale moc toho neumi takze bych si to rad udelal spis svepomoci,
Rad bych tam mel nejakou zakladni webovou stranku v tom problem nevidim. Ale pak bych pridal treba jeste par fotogalerii - no a rade bych nejak poresil spravu uzivatelu. Aby meli ruzni uzivatele prisup jen k ruznym strankam/slozkam. Uz jsem studoval dokumentace k lighttpd a delal par experimentu a lehce zacinam rozumet jak to funguje. Akle vsiml jsem si ze treba ten Webmanager  a ta aplikace na pristup k obrazkum a souborum bezi pod https. No a vlastne nechapu proc. Kdyz jsem si hledal neco o https treba na wikipedii tak tam je spousta vseobecnych informaci jak to funguje atd ... Je to kvuli tomu ze pokud zada uzivatel heslo na prihlaseni a posila to prez "obycejny" http protokol ta to heslo muze nekdo vysledovat ? Vdyt ale dobre 75% webovych stranek co znam kde se prihlasuju neni pod https - nebo je tam bezpecnost osetrena nejakymi jinymi mechanizmy ?
Mam v tom docela zmatek tak kdyby mi nekdo mohl poradit - treba uplne obecne, budu moc rad. Diky K
Lenovo ThinkCentre A61 912073G
Athlon X2 5000+ 4GB RAM Nvidia Geforce 9500GT
Linux Mint 9 Isadora , Win7 64Bit

soudruh

  • Aktivní člen
  • *
  • Příspěvků: 458
  • Na Linuxu se stále učím...
Bezpečnou autentizaci odolnou i proti odpoleschnutí je například tento způsob:

1) V DB máme samozřejmě jen jednosměrný hash hesla, nejlépe s nějakým saltem - například login
2) Spolu s přihlašovacím formulářem odešleme uživateli nějaký další salt, který si uložíme do session, nebo db
3) Při odeslání formuláře se spustí javascript, který z  hesla/loginu vypočítá hash, který se rovná hashy, který máme v db.
 - Tím však tento hash má stejnou váhu jako heslo a nemůžeme jej tedy odeslat zas na server, protože by ho mohl někdo odpoleschnout. Proto zde nastupuje salt odeslaný s přihlašovacím formulářem. U něj je vyžadována náhoda, musí mít nastavenou trvnalivost a musí být někde poznamenán na straně serveru. Pomocí hashe spočítaného u klienta a toho saltu vypočítáme nová hash, který až odešleme.
- Na straně serveru veme hash hesla v db, přidáme salt, vypočítáme hash a porovnáme, zda se rovná se zaslaným uživatelem. A zablokujeme salt, aby útočník v případě odposlechu jej nemohl znovu použít.

Při další práci po autentizaci bude probíhat ověření zřejmě pomocí session, kterou je potřeba také ochránit proti odposlechu - ideální při každém requestu přegenerovat, čímž útočníkovi stížíš získání tvé session. Tu samozřejmě na straně sw nabindovat nejlépe na konkrétní ip, prohlížeč a pod..

https je protokol http šifrovaný za použití ssl a je tedy teoreticky odolný proti odposlechu. Další možností je využití třeba ssh tunelu, nebo vpnky.

Xubuntu 12.10@fermium; Ubuntu 12.04@mandelevium; Android 2.3.3@nobellum; Ubuntu 9.04@lawrencium; FreeNAS@rutherfordium; Xubuntu 12.04@dubnium

karlitos

  • Stálý člen
  • **
  • Příspěvků: 1057
  • Bioinformatics - solutions in-silico
    • homepage
No jak ja jsem to ted studoval tak pro me potreby mozna bude nejjednodussi nejaky lehky CMS ktery podporuje spravu uzivatelu. Pro me je dulezite abych si tam mohl vlozit fotky pomoci Jalbum protoze to je aplikace tak blbovzdorna ze se zalibila i me drahe polovicce. Na duhou stranu se mi nechce vysvetlovat treba babicce co ze za divnou cigaretu to drzim na te party, takze potrebuju nejakou spravu uzivatelu.
Pro me je ale naprosto zbytecne se ucit PHP, sifrovani ... Nepotrebuju mit neprustrelny Web, kdyz si nekdo tu praci da tak ho shodi. Nechci ale aby se se kazdy trochu schopny Franta Uzivatel byl schopny dostat az treba k datum co jsou na tom NASu ulozena. A dalsim faktorem je ze je to krabicka s nejakym ARM processorem + 32MB pameti a to je vazne taktak
Lenovo ThinkCentre A61 912073G
Athlon X2 5000+ 4GB RAM Nvidia Geforce 9500GT
Linux Mint 9 Isadora , Win7 64Bit

RNA

  • Stálý člen
  • **
  • Příspěvků: 630
.......A dalsim faktorem je ze je to krabicka s nejakym ARM processorem + 32MB pameti a to je vazne taktak
Tady bych radši použil FreeBSD.

karlitos

  • Stálý člen
  • **
  • Příspěvků: 1057
  • Bioinformatics - solutions in-silico
    • homepage
No ... asi takhle : tim NASem je Western Digital MyBookWorld II a muzu vubec mluvit o stesti ze to lidi tak krasne hackli a da se na to pripojit prez ssh a nahrat ruzny rozsireni. Kdybych pro to mel kompilovat BSD a ucit se BSD tak kdybych sel do Kauflandu na kasu tak si za stejnou dobu co mi to bude trvat vydelam na 2x kompletni servery s nejakym mini-ITX boardem na kterych muzu bezet Apache a nejaky CMS se spravou uzivatelu.

Problem je ze chci "jen" abych mohl alespon zakladne spravovau uzivatele a ridit komu se co zobrati. Pozadavek jednoduchy zda se - ale zjitil jsem ze se bez pokrocilych znalosti PHP, Parlu a webovych technlogogii jako takovych neobejdu. Predevsim paklize musim vyjit s lighttpd a bez SQL.

Nekdy me prekvpauje jak mohou byt jednoduche veci slozite.
Lenovo ThinkCentre A61 912073G
Athlon X2 5000+ 4GB RAM Nvidia Geforce 9500GT
Linux Mint 9 Isadora , Win7 64Bit

 

Provoz zaštiťuje spolek OpenAlt.