Сообщений в теме: 33

[T. Anre]

ваш и другой методы не могут быть круче SSL )
потому что они реализуют механизм авторизации

Смотря как взглянуть на этот вопрос. М.б. и аутентификация прокатит.

неужели они будут покупать shared хостинг?

Шаред хостинг - удел веб-студий, стартапов на нач. уровнях и хомяков.
Нормальные проекты - нормальные условия.

[Ty-154]

Зачем кому-то ваши данные?

ну как зачем? разве такого в природе не бывает? тогда скинте мне в личку пароль от своего аккаунта...

ваш и другой методы не могут быть круче SSL )

ну никто и не говорил о том что круче, вещи то разные. И не всегда надо стрелять из пушки по воробьям...
В СЕРЬЕЗНЫХ системах (я в банке работаю), есть веб сервисы, в которых без SSL прекрасно контролируется доступ. Логика похожая, хитро_хешируется( солёный хитрый_хеш (пароля)). Как именно - поделится не могу.
Но все прекрасно работает.

Шаред хостинг - удел веб-студий, стартапов на нач. уровнях и хомяков.
Нормальные проекты - нормальные условия.

согласен. но просто хочется усилить стойкость на шаред хостинге.
либо отказаться от этой дурацкой затеи... но пока-что в ее дурости и бессмысленности я не убежден

[T. Anre]

Зачем кому-то ваши данные?

ну как зачем? разве такого в природе не бывает? тогда скинте мне в личку пароль от своего аккаунта...

Даже в личку не надо.
anre/12345qwerty

согласен. но просто хочется усилить стойкость на шаред хостинге.
либо отказаться от этой дурацкой затеи... но пока-что в ее дурости и бессмысленности я не убежден

Я уже не раз вижу как Казнетчики разрабатывают JS-ный алгоритм шифрования данных...
Что за мания? Разновидность гриппа?
Конечно, у вас получится усилить стойкость шаред хостинга,
только чего вам это будет стоить?
Сегодня, вы задаетесь вопросом "Точно тот пользователь".
Но завтра придет следующий вопрос "А не бот ли он".
Вероятно, из алгоритмов вам придется использовать асимметричный, хеширующий и симметричный.
Допустим что-то типа RSA, MD5 и AES-128.
Допустим вы сделали реализацию своего суперпупераутентификатора.
Но канал связи-то так и остался открытым.
Что из этого следует?
Производительность всей системы всегда не больше производительности самого слабого звена.
А что у вас слабое звено? IP-адрес с пользователем или канал связи?

Кстати, а вы знаете, что JS совсем не быстрый.
А вам ведь возможно понадобится подписывать каждую форму...
з.ы. Мог что-то напутать, давно этой темой не занимался.

[Gloomy]

... Вы похоже не понимаете, того, о чем разговариваете.
Для справки: RFC 2069 - http://www.getrfc.ru...rfc2069.txt.pdf.
Дело в том, что Digest аутентификация и мой вариант имеют одинаковый принцип.
...
Очень прошу остальных, прежде чем что то писать, понимать то о чем рассуждаете.

Не сдаёшься - молодец! Хотя - только поэтому и молодец

Раз уж пишешь болдом о "понимать" - может тогда и сам ту ЭрЭфСишку прочитаешь? И не просто буквы - тут придётся моск включить. Раз Вы такой проффи - прокомментируй, будь ласка, вот это место из приведённого тобой документа:
"Most needs for secure HTTP transactions cannot be met by Digest Authentication. For those needs SSL or SHTTP are more appropriate protocols."
Ы?

Если есть возможность перехватывать пакеты, то наверное есть возможность и отбрасывать их. Не так ли?

Так! Но не всегда. Иметь возможность отслеживать не всегда значит иметь возможность подменить. это геморойнее...

Подмена слов оппонента работает против блондинков, а не против занудных криптоаналитиков. Не рекомендую. А ежели всё же "перехват" - как в оригинале - тогда "то есть как это не всегда"?!! Ты вообще то себе хоть смутно представляешь как прокси работает? Надеюсь что да .... А раз так - прокомментируй и еще одну фразу из приведённого тобой же документа:
"Both Basic and Digest authentication are vulnerable to "man in the middle" attacks, for example, from a hostile or compromised proxy. Clearly, this would present all the problems of eavesdropping. But it could also offer some additional threats."

Кстати когда я говорил "Всё - вас уже съели" - там как раз и написано как Рекомендую всем - отрезвляет ...

Как ни крути - если делают что то серьёзное (банк там какой) - то будет и сервер свой и сертификат подписанный Verisign, и SSL\TLS на всё.
А если нет (ну форум типо этого) - то и нафиг париться?

Такое вот IMNHO. Хотя - не настаиваю. Один фиг все дороги ведут в Рим Даже длинная, опасная и вся в ямах и колдобинах.

[Gloomy]

теперь я погромлю SSL... Как писалось в моем первом посте, хостинг-арендуемый...
Теперь... как вы определяете подлинность сервера?
хоба! Как ни странно, Вас ТОЖЕ СЪЕЛИ!

Хоть режьте меня - смысл вышеотквоченного мне недоступен ...

Если у вас хостинг арендуемый то от рута вы никак не защищены - вы и так целиком его со всеми потрохами, таблицами и скриптами, какой бы протокол вы не привернули ...



PS: Прав я был когда вещал о лох^W наивности

Сообщение отредактировал Gloomy: 27.05.2009, 11:03:59

[T. Anre]

Такое вот IMNHO. Хотя - не настаиваю. Один фиг все дороги ведут в Рим Даже длинная, опасная и вся в ямах и колдобинах.

[НАВЕЯЛО]
Томас Дж. Уотсон из IBM как-то сказал:
"Чтобы продвинуться в моей компании,
нужно удвоить количество ошибок."
А ошибки - это хорошо.
Это опора для интуиции.
И путь к богатству.
"Намного лучше неправильно начать,
чем идеально медлить" (с) Возможно, Боно Шефер

Самоуверенность,
желание быть значимыми,
незнание деталей и неправильные установки - 80% для совершения ошибки,
и это замечательно.

Всегда радуюсь людям, которые строят замки на песке.
Ведь чем больше они замков построят,
тем быстрее придут в свой Рим.
[/НАВЕЯЛО]

[Prince_al_Mansura]

Откуда это? Скинь линк пожалуйста!

Сообщение отредактировал Prince_al_Mansura: 27.05.2009, 14:44:17

[ArepRu]

Учите матчасть....

1) SLL
2) Криптография

Самый главный вопрос - зачем? Все что делает юзер, он это делает и вы не обязаны предоставлять безопасность передачи данных от него к себе. Если уж вы решили, что это необходимо, то прикручивайте SLL, в противном случае не пудрите голову ни себе, ни людям.

[T. Anre]

Откуда это? Скинь линк пожалуйста!

Ты о [НАВЕЯЛО/]?

[Prince_al_Mansura]

агась о навеянном

[T. Anre]

агась о навеянном

Зачастую, в бизнесе и жизни мы получаем не то,
что заслуживаем, а то на что смогли договориться.
Конечно, несмотря на это мы можем жить так как хотим,
но зачастую живем так, как хотят того другие.
(с) Ы

// Что тут написано знают все, но никто этого не практикует.
Как завоевывать друзей и оказывать влияние на людей, Дейл Карнегги

// Ведение переговоров(в бизнесе, семье и тд) на базе "точек соприкосновения"
Преодолевая нет, Юри Уильям

// Название книги говорит само за себя
Думай и богатей, Наполеон Хилл

// Книга расчитана на то, чтобы начать перестраивать мышление
Самый богатый человек в Вавилоне, Джордж С. Клейсон

// От накопления к инвестициям
Первый миллион за 7 лет, Боно Шефер

// Про тайм менеджмент, думаю лучшая из российских.
Тайм драйв, Глеб Архангельский

// Лидерам программистов
Как пасти котов, Дж. Ханк Рейнвотер

// Чему же учат нас родители, думаете книга об этом?
Богатый папа, бедный папа, Роберт Кийосаки

// Правила бизнеса
Бизнес по-еврейски, М. Л. Абрамович

Остальные книжки... их все знают:
7 навыков,
47 законов власти,
Искусство войны,
Главное время главным вещам

[Ty-154]

Еще раз, для особо противных: Я НЕ УТВЕРЖДАЮ, ЧТО ПРЕДЛОЖЕННОЕ МНОЙ - ПАНАЦЕЯ.
может так заметнее?
нет?
позволю себе немножко себя поцитировать:

1. SSL. Некоторые ресурсы, например gmail, "мудрят" используя SSL защиту скрипта аутентификации. Но не у всех есть возможность содержать свой сервер и сертификат. Соответственно не все могут себе позволить SSL.

Но в случае с арендованным хостингом нельзя быть уверенным в неразглашении закрытого ключа сертификата.
осталось понять какое из зол меньшее...

... Как писалось в моем первом посте, хостинг-арендуемый...

я не говорю что мой метод круче использования SSL.

и что мне это даст? если сервер ФИЗИЧЕСКИ находится не у меня и администрируется не мной.

как я уже говорил, речь идет не об SSL, и не о дополнительных расходах на что угодно, вплоть до киллера, который будет убивать всех, кто причастен к возможное утечке информации...
Про SSL я и сам все знаю и не создавал бы этот топик, прежде чем писать про это. прочтите выше, почему SSL не подходит.

не замечали, что всевозможные сервисы, которые используют сертификаты и SSL не базируются на "общественных" серверах?
как думаете почему?

ну никто и не говорил о том что круче, вещи то разные. И не всегда надо стрелять из пушки по воробьям...

согласен. но просто хочется усилить стойкость на шаред хостинге.

Сообщение отредактировал Ty-154: 01.06.2009, 12:52:44

[Ty-154]

Раз уж пишешь болдом о "понимать" - может тогда и сам ту ЭрЭфСишку прочитаешь? И не просто буквы - тут придётся моск включить. Раз Вы такой проффи - прокомментируй, будь ласка, вот это место из приведённого тобой документа:
"Most needs for secure HTTP transactions cannot be met by Digest Authentication. For those needs SSL or SHTTP are more appropriate protocols."
Ы?

ВНАУРЕ ЫЫЫЫ...
Что за чушь? Зачем Вы это написали? Почитайте форум выше и увидите...
я как раз все прочитал и понял!

А ежели всё же "перехват" - как в оригинале - тогда "то есть как это не всегда"?!! Ты вообще то себе хоть смутно представляешь как прокси работает? Надеюсь что да .... А раз так - прокомментируй и еще одну фразу из приведённого тобой же документа:
"Both Basic and Digest authentication are vulnerable to "man in the middle" attacks, for example, from a hostile or compromised proxy. Clearly, this would present all the problems of eavesdropping. But it could also offer some additional threats."

"то есть как это не всегда"?!!
Ты о чем друг? Ты Вообще хоть смутно представляешь, что можнно пассивным сниффером "прочитать" чистый пароль, и запросто логинится? Или у тебя траффик только в прокси видно?
Но даже, если ты "man in the middle" то, в нашем случае, без пользователя, который руками вобъет пароль - ты ничего не сможешь... и что? будешь его постоянно ждать? а ведь я еще и пакеты не подписываю...

Как ни крути - если делают что то серьёзное (банк там какой) - то будет и сервер свой и сертификат подписанный Verisign, и SSL\TLS на всё.
А если нет (ну форум типо этого) - то и нафиг париться?

Есть варианты, когда мне просто наплевать, на то, что кто-то видит траффик, даже в ОЧЕНЬ серьезных приложениях.

Сообщение отредактировал Ty-154: 01.06.2009, 13:00:30

[Ty-154]

Если у вас хостинг арендуемый то от рута вы никак не защищены - вы и так целиком его со всеми потрохами, таблицами и скриптами, какой бы протокол вы не привернули ...

Браво! Наконец-то появилось понимание, что SSL не дает 100% гарантий, на шаред хостинге.

PS: Прав я был когда вещал о лох^W наивности

Не был ты прав! Тут ни кто не был наивным.
еще раз повторю: Я НЕ УТВЕРЖДАЮ, ЧТО ПРЕДЛОЖЕННОЕ МНОЙ - ПАНАЦЕЯ.
см. предыдущее сообшение.

А для тех кому ДО СИХ ПОР НЕ ПОНЯТНО о чем речь... попробуем абстрагироваться и поиграть образами:
аналогия первая - "SSL всеравно круче":
я иду по загородной дороге, транспорта нет, нашел неисправный велосипед... пытаюсь принять решение, стоит ли его починить и поехать на нем...
тут мимо проходит Gloomy и говорит: "нахрена тебе велосипед? лети на вертолете!"
все круто... я и сам знаю, что на вертолете удобнее и быстрее, но вертолета НЕТ...

аналогия вторая "твоя методика не защитит на 100%":
у меня есть черный автомобиль, он греется на солнце, я собираюсь его перекрасить в более светлый цвет, белый не рассматриваю, он маркий и за авто требует больше ухода, решил покрасить в серебро...
тут мимо проходит Gloomy и говорит: "нахрена? полюбому автомобиль белым не станет!"
я и сам знаю, что не станет, мало того, я не хочу белый, мне это неудобно...


предлагаю тему закрыть. все что было нужно - уже обсудили. лучше бы про механизм смены пароля заговорили... и то было бы интереснее...

Сообщение отредактировал Ty-154: 01.06.2009, 13:06:29