Vlákno názorů k článku
Únik hesel ze serveru Lapiduch.cz
od Milan Keršláger - https://cs.wikipedia.org/wiki/S%C5%AFl_(kryptografie)
Hesla by například neměla být ve stejné databázi,...
-
https://cs.wikipedia.org/wiki/S%C5%AFl_(kryptografie)
Hesla by například neměla být ve stejné databázi, jako je webová aplikace. Vhodnější je udělat třeba autentizační proces, který má vlastní databázi a běží pod jiným uživatelem (na jiném počítači), než samotný web. Pokud proces pouze schvaluje pokusy o přihlášení, nepůjde data tak snadno ukrást... -
Jenda (neregistrovaný)
> Hesla by například neměla být ve stejné databázi, jako je webová aplikace.
Hesla by se především neměla na server posílat vůbec. Nikdy. Když serveru heslo pošlu, tak se pak nesmím divit, že ho zná. Kdybych mu ho neposlal, tak uniknout nemůže.
Ale asymetrická kryptografie je tu teprve 40 let…
-
Ondra Satai NekolaZlatý podporovatelSuper. A jak to chces resit ve webove aplikaci? Ruzne challenge/response a podobne veci (asymetricke krypto ani nepotrebujes) padaji na tom, ze javasciript.
-
Jenda (neregistrovaný)
> Ruzne challenge/response a podobne veci (asymetricke krypto ani nepotrebujes)
Ano, přesně tak, asymetrická kryptografie je jedna z možností, ale samozřejmě jde postavit protokol i na různém přihashovávání challengí a tak.
> padaji na tom, ze javasciript
Huh? Jaký JavaScript? To má implementovat normálně prohlížeč.
-
Ondra Satai NekolaZlatý podporovatel
"To má implementovat normálně prohlížeč."
A? Jaky dobre podporovany standard pro to mam pouzit?
-
Ondra Satai NekolaZlatý podporovatel
Takze by se sice hesla nemela posilat... ale posilat se museji.
-
Jenda (neregistrovaný)
> Klientske certifikaty normalne funguju a pouzivaju sa.
Problémy s použitelností:
- uživatel se tě zeptá, co má dělat, když přijde k cizímu počítači a chce se tam přihlásit do diskuze/mailu/... (ano, jsou takoví, a u některých méně důležitých účtů jim asi nevadí, že cizí počítač může být backdoornutý)
- není GUI na výběr který certifikát chci právě použít. Nebo někdy třeba žádný. V browseru je to hluboko v nastavení.
- Musíš uživatele naučit, že po vygenerování certifikátu si ho musí někam zazálohovat (a navést je, jak to mají vyklikat), protože jinak se tam po přeinstalování počítače už nikdy nedostanou.
-
asdsdfadsf (neregistrovaný)
> ano, jsou takoví, a u některých méně důležitých účtů jim asi nevadí, že cizí počítač může být backdoornutý
> Musíš uživatele naučit, že po vygenerování certifikátu si ho musí někam zazálohovatU menej dolezitych uctov to az tak velmi nevadi. U dolezitejsich sa tomu da pomoct jednoduchym vydanim noveho certifikatu spolu s revokaciou stareho po specialnom overeni. Alebo si niekto moze pomoct HW tokenom.
> není GUI na výběr který certifikát chci právě použít. Nebo někdy třeba žádný. V browseru je to hluboko v nastavení.
Co je to za browser?
Androidacky Chrome a aj linuxovy Firefox mi ponukaju GUI vyber certifikatov. V obidvoch pripadoch mam moznost nepouzit ziadny (zrusit okno). V nastaveni som nic nemenil. -
Jenda (neregistrovaný)
> U menej dolezitych uctov to az tak velmi nevadi. U dolezitejsich sa tomu da pomoct jednoduchym vydanim noveho certifikatu spolu s revokaciou stareho po specialnom overeni.
Zkus si to. Podle mě tě s tím uživatelé pošlou do prčic.
> Androidacky Chrome a aj linuxovy Firefox mi ponukaju GUI vyber certifikatov.
Linuxový FF, můžu si ho vybrat, ale jak se pak odhlásím, když současně nechci, aby to prudilo při každém requestu?
