» »

Varnost spletne aplikacije s SSL

Varnost spletne aplikacije s SSL

luciby ::

Pozdravljeni,

tema je sicer že premletaa, vendar še vedno nimam pravih odgovorov na vse kar me zanima. Naredil sem spletno aplikacijo v kateri so gesla kriptirana z MD5, poskrbljeno je za SQL injection ipd. Aplikacija je napisana s skriptnim jezikom ASP in teče na privat strežniku, ki ima nameščen spletni strežnik Apache. Sedaj bi rad med odjemalcem in tem fizičnim strežnikom vzpostavil varno SSL ali TLS komunikacijo, da recimo neki sniferski programi ne bo mogel prestreči gesla, ko se nekdo prijavlja v sistem.

Kateri sniferski program bi uporabil, da bi pregledal, kakšni podatki se prenašajo? Kakšen je postopek, da vzpostavim SSL komunikacijo (kje so potrebne spremembe - na Apacheju, v moji kodi, kje...)? Rad bi, da se odjemalcu ne gnjavi z pop-upi, ki opozarjajo na https, kar pa mislim, da ponuja le verisign, sigen-ca pa še vedno ne, ali se motim? Pomembna mi je tudi cena?

Torej prosil bi, da mi nekdo po kmečko poda celoten postopek, da se bodo pomembne informacije prenašale po protokolu HTTPS?

Hvala

Tr0n ::

Google ti bo najdo precej sniff aplikacij. Pozenes, kliknes na zeljen port in spremljas komunikacijo. Simple as that.

luciby ::

Dobro ta sniff je še najmanjši problem. Bolj me zanimajo ostale reči. Prosim kdo.

Daedalus ::

Klik.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

luciby ::

Torej bi naj to pomenilo, da so spremebe na strežniku dovolj? Kako pa se preklapljata HTTP in HTTPS? Se mogoče ob prenosu podatkov ta protokola samodejno preklapljata, ali je potrebno kje določati, kaj se prenaša po HTTP in kaj po HTTPS?

Zgodovina sprememb…

  • spremenilo: luciby ()

Tr0n ::

Drugi port je.

vasquez ::

Pomembno je, da instaliraš strežniški certifikat. Certifikat si lahko narediš sam s kakšnim CA strežnikom, lahko pa ga kupiš. Kolikor se spomnim je nakup pri kakšnem priznanem overovitelju kar draga zadeva. Apache ne poznam, ampak pri IIS je tako, da ko certifikat instaliras, se strežnik začne oglašati tudi na portu 443 (https). Aplikacije zaradi tega ni potrebno spreminjati. V bistvu dobiš še nekaj dodatnih enviroment spremenljivk, ki ti recimo povedo da je https vključen in podobno.

Glede popup-a - pojavlja se tudi npr. pri edavkih ali pri nlb, ker njihovih CA strežnikov ni v seznamu od IE oz. firefoxa. Znebiš pa se ga tako, da uvoziš CA root certifikat.

luciby ::

Kako pa uvoziš CA root certifikat?


Pa še nekaj. Če pozabimo sedaj SSL, zanima me kaj vse bi bilo potrebno storiti v aplikaciji, da bo varna. Poskrbel sem že za sql injection in gesla so kriptirana z md5.

Zgodovina sprememb…

  • spremenilo: luciby ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VPN (strani: 1 2 )

Oddelek: Omrežja in internet
5616401 (7075) rkobarov
»

Dekriptiranje HTTPS povezave v Wiresharku

Oddelek: Omrežja in internet
195425 (4677) ragezor
»

Slo-Tech preko TLS povezave (strani: 1 2 3 )

Oddelek: Novice / Obvestila
12017101 (12741) Jst
»

SSL, kaj je kako deluje skratka čimveč o tem

Oddelek: Programiranje
82142 (1923) 1234qwer
»

HTTPS na IIS 5.0... ?

Oddelek: Pomoč in nasveti
81059 (977) Dr X

Več podobnih tem