Forum » Izdelava spletišč » Plaintext prijava / registracija
Plaintext prijava / registracija
kriko1 ::
Trenutno delam na eni skripti in opažam da se gesla pošiljajo kot plaintext skozi.
Kako bi naredil če nekdo prestreza promet, ne vidi kaj se pošlje skozi ob prijavi ali registraciji?
Kako bi naredil če nekdo prestreza promet, ne vidi kaj se pošlje skozi ob prijavi ali registraciji?
kriko1 ::
To sem razmišljal, vendar če se pošlje md5 skozi, potem nekdo lahko prestreže tole in naredi post na server z tem md5 in je prijavljen - praktično je to tudi nekako geslo.
misek ::
Ne, ker se ta MD5 izračuna na podlagi gesla, ki ga pozna samo uporabnik, in naključnega stringa, ki ga pošlje server in je vsakič različen. Pa še metode zahteve, ...
kriko1 ::
Takole sem naredil:
http://marakana.com/blog/examples/php-i...
Še eno vprašanje - kaj pa glede forme ko uporabnik menja geslo?
Tu se gre za nastavljanje novega gesla in nimam nič za primerjat na serverju, kaj naj tukaj
pošljem čez? Se da iz md5 niza, kateri je sestavljen iz gesla ter challenge stringa dobiti ven geslo ali geslo v md5 zapisu?
http://marakana.com/blog/examples/php-i...
Še eno vprašanje - kaj pa glede forme ko uporabnik menja geslo?
Tu se gre za nastavljanje novega gesla in nimam nič za primerjat na serverju, kaj naj tukaj
pošljem čez? Se da iz md5 niza, kateri je sestavljen iz gesla ter challenge stringa dobiti ven geslo ali geslo v md5 zapisu?
blackbfm ::
Da se, sam ni primerno (bruteforce) če misliš ven dobit geslo
Drugače pa enako zakodiraš in primerjaš hash in to je to.
Drugače pa enako zakodiraš in primerjaš hash in to je to. Zgodovina sprememb…
- spremenilo: blackbfm ()
kriko1 ::
Ok, staro geslo na formi za zamenjavo pošljem po istem postopku (saj je že znano serverju), medtem ko pa novo samo zakodiram v md5 in pošljem, to pa dam direktno v bazo (po preverjanju).
Dosti boljše kot prej, hvala.
Dosti boljše kot prej, hvala.
Zgodovina sprememb…
- spremenil: kriko1 ()
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | java in mysql -> preveri gesloOddelek: Programiranje | 1243 (1093) | Goldee |
| » | Generiranje kombinacij znakovOddelek: Programiranje | 1314 (999) | c0dehunter |
| » | Analiza slovenskih geselOddelek: Novice / Zasebnost | 12109 (10047) | BlueRunner |
| » | PHP - Register formOddelek: Izdelava spletišč | 1978 (1606) | roli |
| » | Skrivanje geselOddelek: Izdelava spletišč | 3158 (2398) | Tr0n |