http/html авторизация

Модератор: Модераторы разделов

apprentice
Сообщения: 595
ОС: Debian 6

http/html авторизация

Сообщение apprentice »


Подскажите плз существует ли стандартный механизм http/html (не https!) авторизации при котором пароль не передается в открытом виде даже во время регистрации.

Т.е так что бы перехват пароля был невозможен даже при анализе всего http трафика.

Спасибо сказали:
Аватара пользователя
eddy
Сообщения: 3321
Статус: Красный глаз тролля
ОС: ArchLinux

Re: http/html авторизация

Сообщение eddy »

apprentice писал(а):
26.07.2010 09:53
Подскажите плз существует ли стандартный механизм http/html (не https!) авторизации при котором пароль не передается в открытом виде даже во время регистрации.

Т.е так что бы перехват пароля был невозможен даже при анализе всего http трафика.

Получайте при помощи javascript sha-сумму пароля и отсылайте серверу. Но от перехвата это вас не спасет :)
Используйте https, чем вам это не нравится? Могу свою реализацию подкинуть.
RTFM
-------
KOI8-R - патриотичная кодировка Изображение
Спасибо сказали:
apprentice
Сообщения: 595
ОС: Debian 6

Re: http/html авторизация

Сообщение apprentice »

eddy писал(а):
26.07.2010 09:59
Получайте при помощи javascript sha-сумму пароля и отсылайте серверу.


Сам я, конечно, могу сделать все что угодно, хоть механизм электронной подписи использовать, и вообще пароль не передавать на сервер, но сейчас меня интересует существует ли стандартный механизм для этого.

А https для моих целей избыточен.
Спасибо сказали:
Аватара пользователя
eddy
Сообщения: 3321
Статус: Красный глаз тролля
ОС: ArchLinux

Re: http/html авторизация

Сообщение eddy »

apprentice писал(а):
26.07.2010 10:07
А https для моих целей избыточен.

http ничего не шифрует. Так что вы хоть расшибитесь, но кто угодно сможет пройти процедуру аутентификации через http, если перехватит ваш запрос. А чем вам https-то не нравится? Настраивать - пару минут ;) Делаете перенаправление на https-форму ввода пароля/логина, а затем при прохождении аутентификации - перенаправление обратно на нешифрованное соединение.

Кстати, если уж так хотите только http, можно при помощи javascript реализовать механизм "рукопожатия" наподобие ssh. Но все равно придется придумывать, как клиент будет получать ключ. И опять придется использовать https (но в этом случае - лишь для самого первого обращения, или при удалении клиентом cookies).
RTFM
-------
KOI8-R - патриотичная кодировка Изображение
Спасибо сказали:
apprentice
Сообщения: 595
ОС: Debian 6

Re: http/html авторизация

Сообщение apprentice »

eddy

Я просто не хочу изобретать очередной велосипед :) Если стандартных механизмов не существует, значит сделаем что-нибудь свое, особая секретность не нужна, просто хочется выглядеть солидно ;)

Спасибо сказали:
Аватара пользователя
eddy
Сообщения: 3321
Статус: Красный глаз тролля
ОС: ArchLinux

Re: http/html авторизация

Сообщение eddy »

apprentice писал(а):
26.07.2010 10:38
eddy

Я просто не хочу изобретать очередной велосипед :) Если стандартных механизмов не существует, значит сделаем что-нибудь свое, особая секретность не нужна, просто хочется выглядеть солидно ;)

Если вам интересно, почитайте.
RTFM
-------
KOI8-R - патриотичная кодировка Изображение
Спасибо сказали:
watashiwa_daredeska
Бывший модератор
Сообщения: 4038
Статус: Искусственный интеллект (pre-alpha)
ОС: Debian GNU/Linux

Re: http/html авторизация

Сообщение watashiwa_daredeska »

http://tools.ietf.org/html/rfc2617#section-3
Однако, перехват пароля все-таки возможен с off-the-shelf браузерами при помощи MitM. Разве что запретить в клиентском софте Basic Authentication совсем.
Спасибо сказали:
Аватара пользователя
ТВЭЛ
Сообщения: 132
ОС: основана на SlackWare

Re: http/html авторизация

Сообщение ТВЭЛ »

eddy писал(а):
26.07.2010 10:31
Делаете перенаправление на https-форму ввода пароля/логина, а затем при прохождении аутентификации - перенаправление обратно на нешифрованное соединение.

Не очень хороший вариант, потому что браузер будет выкидывать предупреждение о небезопасности передачи данных в таком случае.
Время не ждет.
Спасибо сказали:
watashiwa_daredeska
Бывший модератор
Сообщения: 4038
Статус: Искусственный интеллект (pre-alpha)
ОС: Debian GNU/Linux

Re: http/html авторизация

Сообщение watashiwa_daredeska »

ТВЭЛ писал(а):
27.07.2010 06:39
потому что браузер будет выкидывать предупреждение
Не будет. Сейчас так все openid-авторизации устроены через формочки на сторонних сайтах, и ничего.
Спасибо сказали:
Аватара пользователя
eddy
Сообщения: 3321
Статус: Красный глаз тролля
ОС: ArchLinux

Re: http/html авторизация

Сообщение eddy »

watashiwa_daredeska писал(а):
27.07.2010 07:54
ТВЭЛ писал(а):
27.07.2010 06:39
потому что браузер будет выкидывать предупреждение
Не будет. Сейчас так все openid-авторизации устроены через формочки на сторонних сайтах, и ничего.

Подтверждаю. В том же гугле авторизация работает именно так.
А если ключ авторизации выдается лишь на сессию, шансов, что его перехватят, намного меньше.
RTFM
-------
KOI8-R - патриотичная кодировка Изображение
Спасибо сказали:
Аватара пользователя
ТВЭЛ
Сообщения: 132
ОС: основана на SlackWare

Re: http/html авторизация

Сообщение ТВЭЛ »

Кажется, я понял. Предупреждение появляется только в том случае, если передаёшь какую-то форму с https на http. Правильно?
Время не ждет.
Спасибо сказали:
watashiwa_daredeska
Бывший модератор
Сообщения: 4038
Статус: Искусственный интеллект (pre-alpha)
ОС: Debian GNU/Linux

Re: http/html авторизация

Сообщение watashiwa_daredeska »

ТВЭЛ писал(а):
27.07.2010 10:39
Предупреждение появляется только в том случае, если передаёшь какую-то форму с https на http. Правильно?
Да.
Спасибо сказали: