0, 2, 3. Jedná se o vaši nepozornost. Čas se ukládá jen proto, aby se daly mazat staré záznamy. Pro challenge se používá ID.
1. Nechrání, článek se o to ani nesnaží a na další výhody HTTPS upozorňuje. Řeší jeden konrétní problém a to je zabránění odposlechu hesel bez HTTPS.
4. S článkem to nijak nesouvisí, je to další věc, na kterou je vhodné se zaměřit.
5. Ano, v článku toto riziko mělo být zmíněno a v diskusi už to několikrát zaznělo. Podívejte se prosím na komentář http://www.root.cz/clanky/bezpecne-prihlasovani-uzivatelu/nazory/86698/, který tento problém podle mě řeší.
6. Vazba klient-challenge by se jistě ukládat mohla, ale bezpečnost by to podle mě zvýšilo jen minimálně. Pokud bych challenge uložil do session proměnné a útočník by byl schopen odposlechnout challenge, jistě by byl schopen odposlechnout i session ID. Vazba přes IP adresu může být problematická (jeden člověk může používat více adres). Průběžné mazání starých challengů je v článku zmíněno.
7. Postup je na hashovací funkci nezávislý. MD5 jsem zvolil proto, že je nejznámější a známé útoky se k tomuto použití nedají nijak využít.
4b. Můžete tedy prosím popsat postup, který tímto problémem netrpí? Klidně formou honorovaného článku, redakce vám jistě vyjde vstříc.
Názor k článku
Bezpečné přihlašování uživatelů
aura:57
