подскажите начинающему php-программисту 2

Sergey Poulikov scriptuoz на gmail.com
Пт Авг 6 15:28:20 BST 2010


06.08.2010 18:09, Ivan Surzhenko пишет:
> 6 августа 2010 г. 16:43 пользователь Sergey Poulikov
> <scriptuoz на gmail.com> написал:
>   
>> злоумышленник не будет перехватывать и отправлять все это дело в ручную.
>> с клиента посылается уже сфоримрованный хеш с примесью salt и если
>> перехватить этот уже сформированный хеш, и отправить серверу то получим
>> пользовательскую сессию, вся эта операция может осуществляться программно и
>> занимать доли секунды.
>>     
> Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на
> 18 (резьба метрическая), так как пользователь уже отправлял запрос
> авторизации в рамках данной сессии с данной солью. И вообще такую
> ситуацию надо как-то отлавливать и анально наказывать подсовывающего
> хеши.
>
>   
ненадежно, запросы могут придти почти одновременно, а если лочить
обработку то это совсем будет узким горлышком в плане производительности.
А вот наказывать надо всех злоумышленников да только не всегда это возможно.
>> salt не защищает от перехвата данных, для безопасного обмена данными надо
>> использовать https он именно для этого и создан.
>>     
> Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш
> сервер в состоянии выдержать прирост нагрузки из-за постоянного
> шифрования/дешифрования (кстати, насколько велик этот прирост?), то да
> - проще гонять по https.
>
>   
Мы защищаем доступ. Пароль не нужен если можно получить сессию не зная
пароля. Если есть возможность перехватить данные во время авторизации,
то есть возможность получить доступ.
Шифровать все данные и уж тем более постоянно не обязательно.

-- 
/Regards,
Sergey Poulikov/
----------- следущая часть -----------
Вложение в формате HTML было извлечено&hellip;
URL: https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20100806/7fce153d/attachment.htm 


Подробная информация о списке рассылки ubuntu-ru