Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Безопасность при авторизации в попапе

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: Форма с незащищённым (http://) действием содержит поля для ввода пароля
Поиск в теме | Версия для печати
Vdomah
Отправлено: 23 Декабря, 2013 - 11:57:57
Post Id


Новичок


Покинул форум
Сообщений всего: 53
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
Здравствуйте!

Нужно сделать авторизацию в попапе. Хочу понять как это сделать наиболее правильным путем. Основной момент - как передать строку пароля на сервер.

Допустим, два поля: логин, пароль. Создаем массив, пихаем их туда и аяксом шлем на сервер, где сверяем с базой, после чего редиректим или отдаем строку с ошибкой. Но получается некрасиво - открыв консольку можно свободно прочитать строку пароля в описании ПОСТ-запроса.

Кроме того, Файрбаг толсто намекает:
Форма с незащищённым (http://) действием содержит поля для ввода пароля. Это представляет собой угрозу безопасности, которая позволяет украсть учетные данные для входа пользователя.

Незащищённая (http://) страница содержит поля для ввода пароля. Это представляет собой угрозу безопасности, которая позволяет украсть учетные данные для входа пользователя.

Подскажите, как наиболее канонично решаются такие задачи? Вряд ли хватит сделать мд5 на пароль. Как-то наверно надо из http сделать https?

(Отредактировано автором: 23 Декабря, 2013 - 12:09:10)

 
 Top
IllusionMH
Отправлено: 23 Декабря, 2013 - 12:01:44
Post Id



Активный участник


Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011  
Откуда: .kh.ua


Помог: 242 раз(а)
Vdomah, https.
 
 Top
Vdomah
Отправлено: 23 Декабря, 2013 - 12:10:11
Post Id


Новичок


Покинул форум
Сообщений всего: 53
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
Цитата:
Vdomah, https.

Апдейтил свой первый пост. Это понятно, а конкретно что как сделать?
 
 Top
IllusionMH
Отправлено: 23 Декабря, 2013 - 12:15:15
Post Id



Активный участник


Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011  
Откуда: .kh.ua


Помог: 242 раз(а)
Vdomah, даже если вы отправите пароль в md5, а я его увижу, что помешает мне послать ту же самую строку на сервер?
Единственный способ - получение/установка SSL сертификата и настройка сервера.

(Отредактировано автором: 23 Декабря, 2013 - 12:15:34)

 
 Top
Мелкий Супермодератор
Отправлено: 23 Декабря, 2013 - 12:15:36
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Vdomah пишет:
открыв консольку можно свободно прочитать строку пароля в описании ПОСТ-запроса.

И что?
Это совершенно логично, что клиент может получить доступ к своему паролю до его инкапсуляции в HTTPS.


-----
PostgreSQL DBA
 
 Top
Vdomah
Отправлено: 23 Декабря, 2013 - 15:28:14
Post Id


Новичок


Покинул форум
Сообщений всего: 53
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
Мелкий
Цитата:
И что?
Это совершенно логично, что клиент может получить доступ к своему паролю до его инкапсуляции в HTTPS.

Вы хотите сказать, что так, как у меня сейчас, можно оставлять?

IllusionMH
Цитата:
Единственный способ - получение/установка SSL сертификата и настройка сервера.

Полистал ссылки по этому поводу - везде длинные сложные инструкции. Мне не лень, но хочу уточнить: необходимо ли это применять в данном случае? И чего можно опасаться, если не сделать?
 
 Top
IllusionMH
Отправлено: 23 Декабря, 2013 - 15:44:23
Post Id



Активный участник


Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011  
Откуда: .kh.ua


Помог: 242 раз(а)
Vdomah, там еще сертификаты стоят тысячи денег, так что это критичный вопрос.
Зависит от приложения. Если это банк и работа с деньгами, сертификат нужен, либо если утечка может стоить денег, которые в несколько раз больше. чем необходимые для сертификатов.
Если очень захотеть и иметь возможность перехватывать трафик от клиента, то можно получить данные для входа. Если используется шифрование, то нужно еще и открытую часть ключа узнать.
 
 Top
Vdomah
Отправлено: 23 Декабря, 2013 - 16:51:28
Post Id


Новичок


Покинул форум
Сообщений всего: 53
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
IllusionMH пишет:
Зависит от приложения. Если это банк и работа с деньгами, сертификат нужен, либо если утечка может стоить денег, которые в несколько раз больше. чем необходимые для сертификатов.

Не банк, так что, я понял, такая ситуация нормальна. Спасибо.
 
 Top
IllusionMH
Отправлено: 23 Декабря, 2013 - 17:13:31
Post Id



Активный участник


Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011  
Откуда: .kh.ua


Помог: 242 раз(а)
Vdomah, разлогиньтесь и зайдите на главную страницу этого форума с открытой консолью ;)
 
 Top
Vdomah
Отправлено: 23 Декабря, 2013 - 17:34:56
Post Id


Новичок


Покинул форум
Сообщений всего: 53
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
IllusionMH пишет:
Vdomah, разлогиньтесь и зайдите на главную страницу этого форума с открытой консолью ;)

Хахаха))) От жеж файрбаг, паникует зря и меня заставил задуматься!
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« HTTP и PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB