http/html авторизация
Модератор: Модераторы разделов
-
apprentice
- Сообщения: 595
- ОС: Debian 6
http/html авторизация
Подскажите плз существует ли стандартный механизм http/html (не https!) авторизации при котором пароль не передается в открытом виде даже во время регистрации.
Т.е так что бы перехват пароля был невозможен даже при анализе всего http трафика.
-
eddy
- Сообщения: 3321
- Статус: Красный глаз тролля
- ОС: ArchLinux
Re: http/html авторизация
apprentice писал(а): ↑26.07.2010 09:53Подскажите плз существует ли стандартный механизм http/html (не https!) авторизации при котором пароль не передается в открытом виде даже во время регистрации.
Т.е так что бы перехват пароля был невозможен даже при анализе всего http трафика.
Получайте при помощи javascript sha-сумму пароля и отсылайте серверу. Но от перехвата это вас не спасет
Используйте https, чем вам это не нравится? Могу свою реализацию подкинуть.
RTFM
-------
KOI8-R - патриотичная кодировка
-------
KOI8-R - патриотичная кодировка
-
apprentice
- Сообщения: 595
- ОС: Debian 6
Re: http/html авторизация
Сам я, конечно, могу сделать все что угодно, хоть механизм электронной подписи использовать, и вообще пароль не передавать на сервер, но сейчас меня интересует существует ли стандартный механизм для этого.
А https для моих целей избыточен.
-
eddy
- Сообщения: 3321
- Статус: Красный глаз тролля
- ОС: ArchLinux
Re: http/html авторизация
http ничего не шифрует. Так что вы хоть расшибитесь, но кто угодно сможет пройти процедуру аутентификации через http, если перехватит ваш запрос. А чем вам https-то не нравится? Настраивать - пару минут
Кстати, если уж так хотите только http, можно при помощи javascript реализовать механизм "рукопожатия" наподобие ssh. Но все равно придется придумывать, как клиент будет получать ключ. И опять придется использовать https (но в этом случае - лишь для самого первого обращения, или при удалении клиентом cookies).
RTFM
-------
KOI8-R - патриотичная кодировка
-------
KOI8-R - патриотичная кодировка
-
apprentice
- Сообщения: 595
- ОС: Debian 6
Re: http/html авторизация
eddy
Я просто не хочу изобретать очередной велосипед
Если стандартных механизмов не существует, значит сделаем что-нибудь свое, особая секретность не нужна, просто хочется выглядеть солидно 
Я просто не хочу изобретать очередной велосипед
-
eddy
- Сообщения: 3321
- Статус: Красный глаз тролля
- ОС: ArchLinux
Re: http/html авторизация
apprentice писал(а): ↑26.07.2010 10:38eddy
Я просто не хочу изобретать очередной велосипедЕсли стандартных механизмов не существует, значит сделаем что-нибудь свое, особая секретность не нужна, просто хочется выглядеть солидно
Если вам интересно, почитайте.
RTFM
-------
KOI8-R - патриотичная кодировка
-------
KOI8-R - патриотичная кодировка
-
watashiwa_daredeska
- Бывший модератор
- Сообщения: 4038
- Статус: Искусственный интеллект (pre-alpha)
- ОС: Debian GNU/Linux
Re: http/html авторизация
http://tools.ietf.org/html/rfc2617#section-3
Однако, перехват пароля все-таки возможен с off-the-shelf браузерами при помощи MitM. Разве что запретить в клиентском софте Basic Authentication совсем.
Однако, перехват пароля все-таки возможен с off-the-shelf браузерами при помощи MitM. Разве что запретить в клиентском софте Basic Authentication совсем.
Мои розовые очки
-
ТВЭЛ
- Сообщения: 132
- ОС: основана на SlackWare
Re: http/html авторизация
Не очень хороший вариант, потому что браузер будет выкидывать предупреждение о небезопасности передачи данных в таком случае.
Время не ждет.
-
watashiwa_daredeska
- Бывший модератор
- Сообщения: 4038
- Статус: Искусственный интеллект (pre-alpha)
- ОС: Debian GNU/Linux
Re: http/html авторизация
Не будет. Сейчас так все openid-авторизации устроены через формочки на сторонних сайтах, и ничего.
Мои розовые очки
-
eddy
- Сообщения: 3321
- Статус: Красный глаз тролля
- ОС: ArchLinux
Re: http/html авторизация
watashiwa_daredeska писал(а): ↑27.07.2010 07:54Не будет. Сейчас так все openid-авторизации устроены через формочки на сторонних сайтах, и ничего.
Подтверждаю. В том же гугле авторизация работает именно так.
А если ключ авторизации выдается лишь на сессию, шансов, что его перехватят, намного меньше.
RTFM
-------
KOI8-R - патриотичная кодировка
-------
KOI8-R - патриотичная кодировка
-
ТВЭЛ
- Сообщения: 132
- ОС: основана на SlackWare
Re: http/html авторизация
Кажется, я понял. Предупреждение появляется только в том случае, если передаёшь какую-то форму с https на http. Правильно?
Время не ждет.
-
watashiwa_daredeska
- Бывший модератор
- Сообщения: 4038
- Статус: Искусственный интеллект (pre-alpha)
- ОС: Debian GNU/Linux