Hlavní navigace

Názor k článku Jak na tomhle webu změním heslo? Pomocí známé URL pro změnu hesla od Filip Jirsák - Petr M: Kvůli autentizaci se šifrovat nemusí. Šifruje...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 12. 2018 12:11

    Filip Jirsák

    Petr M: Kvůli autentizaci se šifrovat nemusí. Šifruje se stejně z jiných důvodů, ale je potřeba počítat s tím, že šifrovaný je jenom komunikační kanál mezi prohlížečem a serverem. Server data z šifrovaného kanálu vybalí a dál pracuje s dešifrovanými daty, takže z pohledu autentizace nestačí spoléhat na šifrování komunikačního kanálu.

    Není nutné vymýšlet nové koncepce přihlašování, existující koncepce (např. SCRAM) pokrývají všechny požadavky, které tady byly zmíněné. Problém není v tom, že by se nevědělo jako na to, problém je v tom, že to není na webu standardizováno a prohlížeče to nepodporují. Např. nepotřebujete časovou značku, stačí, aby součástí výzvy byl kus náhodných dat (nonce).