forum.opennet.ru

Составление сообщения

Исходное сообщение

"Кроссплатформенная альтернатива 1С."
Отправлено FelixS, 13-Июн-06 18:02

>>Схема такова:
>>
>>1.Клиент устанавливает SSL-соединение через (поверх) HTTP и загружает страничку, где надо ввести
>>логин и пароль.
>>2. Аутентификационные данные, в открытом виде, но через SSL, передаются на сервер,
>>где происходит сравнение введенных данных, с данными в таблице user, базы
>>mysql.
>>3. Если данные совпадают, то логин и пароль зашифровываются и записываются в
>>cookies браузера клиента.
>>4. Если нет -- возвращается страница ошибки.
>>5. Далее серверу передаются только зашифрованные данные, которые расшифровываются на стороне сервера
>>и сравниваются с тем, которые в базе.
>> Для такой схемы нужно симметричное шифрование, что сейчас и реализовано. Шифрование
>>происходит с помощью ключевого слова, которое прописано в конфигурационном файле. То
>>есть брутфорс облегчается. Хотя ключевое слово тоже можно зашифровать ...
>>:-) Но это для продвинутых :-))
>>А хотелось бы сделать несимметричное, чтобы даже при дискредитации пользовательских cookies, было
>>невозможно подключиться к серверу.
>>Плюс к этому, видимо, необходимо будет сделать ПЕРСОНАЛЬНЫЕ SSL-сертификаты. То есть имеешь
>>сертификат -- подключаешься и работаешь.
>
>
>В контексте всего вышесказанного: чем собственно вас не устраивает стандартная схема двух
>сертификатов? У сервера (serverhost.crt) и запароленый персональный у клиента (client.p12) +
>ес-сно авторизация по логину/паролю??
>
>Лично я не могу себе представить что-нить более ударопрочное. Сам так работаю...
>
Я предполагаю, что компьютер пользователя неконтролируем системным администратором, например, при удаленном доступе. В таком случае, с затрояненного компьютера можно слить и сертификат, и что немаловажно, пароль в открытом виде. А так -- пароль зашифрован, и, при каждой новой сессии шифруется заново. То есть при каждом подключении к серверу, последовательность записываемых символов зашифрованного пароля разная. Следовательно теряется смысл брутфорса пароля, так как он будет разный. Кстати, можно и ключевую фразу генерить случайным образом, с определенной периодичностью.
Думаю, что имеет смысл перенести обсуждение этого вопроса. Пишите в мыло, дам свою аську.

Исходное сообщение
"Кроссплатформенная альтернатива 1С." Отправлено FelixS, 13-Июн-06 18:02
>>Схема такова: >> >>1.Клиент устанавливает SSL-соединение через (поверх) HTTP и загружает страничку, где надо ввести >>логин и пароль. >>2. Аутентификационные данные, в открытом виде, но через SSL, передаются на сервер, >>где происходит сравнение введенных данных, с данными в таблице user, базы >>mysql. >>3. Если данные совпадают, то логин и пароль зашифровываются и записываются в >>cookies браузера клиента. >>4. Если нет -- возвращается страница ошибки. >>5. Далее серверу передаются только зашифрованные данные, которые расшифровываются на стороне сервера >>и сравниваются с тем, которые в базе. >> Для такой схемы нужно симметричное шифрование, что сейчас и реализовано. Шифрование >>происходит с помощью ключевого слова, которое прописано в конфигурационном файле. То >>есть брутфорс облегчается. Хотя ключевое слово тоже можно зашифровать ... >>:-) Но это для продвинутых :-)) >>А хотелось бы сделать несимметричное, чтобы даже при дискредитации пользовательских cookies, было >>невозможно подключиться к серверу. >>Плюс к этому, видимо, необходимо будет сделать ПЕРСОНАЛЬНЫЕ SSL-сертификаты. То есть имеешь >>сертификат -- подключаешься и работаешь. > > >В контексте всего вышесказанного: чем собственно вас не устраивает стандартная схема двух >сертификатов? У сервера (serverhost.crt) и запароленый персональный у клиента (client.p12) + >ес-сно авторизация по логину/паролю?? > >Лично я не могу себе представить что-нить более ударопрочное. Сам так работаю... > Я предполагаю, что компьютер пользователя неконтролируем системным администратором, например, при удаленном доступе. В таком случае, с затрояненного компьютера можно слить и сертификат, и что немаловажно, пароль в открытом виде. А так -- пароль зашифрован, и, при каждой новой сессии шифруется заново. То есть при каждом подключении к серверу, последовательность записываемых символов зашифрованного пароля разная. Следовательно теряется смысл брутфорса пароля, так как он будет разный. Кстати, можно и ключевую фразу генерить случайным образом, с определенной периодичностью. Думаю, что имеет смысл перенести обсуждение этого вопроса. Пишите в мыло, дам свою аську.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>Схема такова: >>> >>>1.Клиент устанавливает SSL-соединение через (поверх) HTTP и загружает страничку, где надо ввести >>>логин и пароль. >>>2. Аутентификационные данные, в открытом виде, но через SSL, передаются на сервер, >>>где происходит сравнение введенных данных, с данными в таблице user, базы >>>mysql. >>>3. Если данные совпадают, то логин и пароль зашифровываются и записываются в >>>cookies браузера клиента. >>>4. Если нет -- возвращается страница ошибки. >>>5. Далее серверу передаются только зашифрованные данные, которые расшифровываются на стороне сервера >>>и сравниваются с тем, которые в базе. >>> Для такой схемы нужно симметричное шифрование, что сейчас и реализовано. Шифрование >>>происходит с помощью ключевого слова, которое прописано в конфигурационном файле. То >>>есть брутфорс облегчается. Хотя ключевое слово тоже можно зашифровать ... >>>:-) Но это для продвинутых :-)) >>>А хотелось бы сделать несимметричное, чтобы даже при дискредитации пользовательских cookies, было >>>невозможно подключиться к серверу. >>>Плюс к этому, видимо, необходимо будет сделать ПЕРСОНАЛЬНЫЕ SSL-сертификаты. То есть имеешь >>>сертификат -- подключаешься и работаешь. >> >> >>В контексте всего вышесказанного: чем собственно вас не устраивает стандартная схема двух >>сертификатов? У сервера (serverhost.crt) и запароленый персональный у клиента (client.p12) + >>ес-сно авторизация по логину/паролю?? >> >>Лично я не могу себе представить что-нить более ударопрочное. Сам так работаю... >> > Я предполагаю, что компьютер пользователя неконтролируем системным администратором, > например, при удаленном доступе. В таком случае, с затрояненного компьютера можно > слить и сертификат, и что немаловажно, пароль в открытом виде. А > так -- пароль зашифрован, и, при каждой новой сессии шифруется заново. > То есть при каждом подключении к серверу, последовательность записываемых символов зашифрованного > пароля разная. Следовательно теряется смысл брутфорса пароля, так как он будет > разный. Кстати, можно и ключевую фразу генерить случайным образом, с определенной > периодичностью. > Думаю, что имеет смысл перенести обсуждение этого вопроса. Пишите в мыло, дам > свою аську.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру