Varnost spletne aplikacije s SSL

Pozdravljeni,

tema je sicer že premletaa, vendar še vedno nimam pravih odgovorov na vse kar me zanima. Naredil sem spletno aplikacijo v kateri so gesla kriptirana z MD5, poskrbljeno je za SQL injection ipd. Aplikacija je napisana s skriptnim jezikom ASP in teče na privat strežniku, ki ima nameščen spletni strežnik Apache. Sedaj bi rad med odjemalcem in tem fizičnim strežnikom vzpostavil varno SSL ali TLS komunikacijo, da recimo neki sniferski programi ne bo mogel prestreči gesla, ko se nekdo prijavlja v sistem.

Kateri sniferski program bi uporabil, da bi pregledal, kakšni podatki se prenašajo? Kakšen je postopek, da vzpostavim SSL komunikacijo (kje so potrebne spremembe - na Apacheju, v moji kodi, kje...)? Rad bi, da se odjemalcu ne gnjavi z pop-upi, ki opozarjajo na https, kar pa mislim, da ponuja le verisign, sigen-ca pa še vedno ne, ali se motim? Pomembna mi je tudi cena?

Torej prosil bi, da mi nekdo po kmečko poda celoten postopek, da se bodo pomembne informacije prenašale po protokolu HTTPS?

Hvala

Dobro ta sniff je še najmanjši problem. Bolj me zanimajo ostale reči. Prosim kdo.

Torej bi naj to pomenilo, da so spremebe na strežniku dovolj? Kako pa se preklapljata HTTP in HTTPS? Se mogoče ob prenosu podatkov ta protokola samodejno preklapljata, ali je potrebno kje določati, kaj se prenaša po HTTP in kaj po HTTPS?

Pomembno je, da instaliraš strežniški certifikat. Certifikat si lahko narediš sam s kakšnim CA strežnikom, lahko pa ga kupiš. Kolikor se spomnim je nakup pri kakšnem priznanem overovitelju kar draga zadeva. Apache ne poznam, ampak pri IIS je tako, da ko certifikat instaliras, se strežnik začne oglašati tudi na portu 443 (https). Aplikacije zaradi tega ni potrebno spreminjati. V bistvu dobiš še nekaj dodatnih enviroment spremenljivk, ki ti recimo povedo da je https vključen in podobno.

Glede popup-a - pojavlja se tudi npr. pri edavkih ali pri nlb, ker njihovih CA strežnikov ni v seznamu od IE oz. firefoxa. Znebiš pa se ga tako, da uvoziš CA root certifikat.