On 09/06/2010 11:45, Sokil wrote: > Возникла необходимость криптовать логин и пароль в JavaScript и > передавать в таком виде на сервер.
Интересно. А зачем? Чем https плох?
Posted via RSDN NNTP Server 2.1 beta
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Lело в том, что на сервере не настроен https, сервер Tomcat на винде, идет редирект через IIS, нужно настраивать на https и в Tomcat и в IIS.
Да и с сертификатами заморачиваться не хочется....
On 09/06/2010 12:55, Sokil wrote:
> .>Интересно. А зачем? Чем https плох? > Lело в том, что на сервере не настроен https, сервер Tomcat на винде, > идет редирект через IIS, нужно настраивать на https и в Tomcat и в IIS.
Если tomcat и IIS стоят на одной машине, то https достаточно настроить только для IIS.
> Да и с сертификатами заморачиваться не хочется....
Специалист по трансректальным операциям?
Какой смысл криптовать пароль/логин, если потом, после авторизации, все данные будут гоняться незащищёнными?
Posted via RSDN NNTP Server 2.1 beta
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Sokil, Вы писали:
.>>Интересно. А зачем? Чем https плох?
S>Lело в том, что на сервере не настроен https, сервер Tomcat на винде, идет редирект через IIS, нужно настраивать на https и в Tomcat и в IIS. S>Да и с сертификатами заморачиваться не хочется....
смахивает на "экономию на спичках" (т.е. на админах), а это дорого может обойтись...
Здравствуйте, ., Вы писали:
.>Какой смысл криптовать пароль/логин, если потом, после авторизации, все данные будут гоняться незащищёнными?
А какая связь между конфиденциальностью и целостностью учетных данных и прочего трафика?
Кэп подсказывает, что смысл есть тогда, когда риск нарушения конфиденциальности и целостности учетных данных является существенным, а те же риски, связанные с передаваемой потом информацией — нет. Аутентификация с "двойным рукопожатием" (и, как следствие, шифрованием на стороне клиента), является весьма дешевой и в то же время надежной заменой шифрованию всего трафика там, где оно не требуется дальше самой процедуры аутентификации. Так бывает, когда сервис аутентификации шарится между различными, слабосвязанными друг с другом компонентами или подсистемами. Аутентификация на базе openid, хороший пример такой инфраструктуры. Еще один — сервисы гугла. Далеко не каждый из них пускает весь трафик поверх SSL/TLS, но процедура аутентификации строго шифруется в любом случае. Или в системах, где все пользователи имеют равные права (такие тоже бывают), но в которых важно закрыть риски, связанные в т.ч. с repudiation (отказом от транзакции). Или тогда, когда подсистема аутентификации разрабатывается в отрыве от той системы, в которой будет использоваться (в этом случае, мы не можем полагаться на то, что система будет использовать https и должны закрыть интересующие риски на нашем уровне).. Продолжать?
Здравствуйте, ., Вы писали:
.>On 09/06/2010 12:55, Sokil wrote:
.>Какой смысл криптовать пароль/логин, если потом, после авторизации, все данные будут гоняться незащищёнными?
А мне интересно как, в общем случае, раздаются ключи?
On 09/07/2010 21:35, venicum wrote:
> .>Какой смысл криптовать пароль/логин, если потом, после авторизации, > все данные будут гоняться незащищёнными? > А мне интересно как, в общем случае, раздаются ключи?
Какие ключи? В каком общем случае? Certificate authority что-ли?
Posted via RSDN NNTP Server 2.1 beta
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, ., Вы писали:
.>On 09/07/2010 21:35, venicum wrote:
>> .>Какой смысл криптовать пароль/логин, если потом, после авторизации, >> все данные будут гоняться незащищёнными? >> А мне интересно как, в общем случае, раздаются ключи? .>Какие ключи? В каком общем случае? Certificate authority что-ли?
Открытые и закрытые, которые используются для шифрования.
Общий случай: комп юзера, комп сервера и они должны знать ключи соответственно.
On 12/07/2010 13:29, venicum wrote:
> .>Какие ключи? В каком общем случае? Certificate authority что-ли? > Открытые и закрытые, которые используются для шифрования. > Общий случай: комп юзера, комп сервера и они должны знать ключи > соответственно.
У юзера в браузере есть root certs, серверный cert подписан одним из рутовых, клиент проверяет подпись. Читай про cert authority.
Posted via RSDN NNTP Server 2.1 beta
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Re[8]: RSA криптование на JavaScript
От:
Аноним
Дата:
14.07.10 10:02
Оценка:
Точно такая же проблемма, нужно шифровать на Javascript, а на сервере расшифровывать, автор темы, вы нашли решение?
Здравствуйте, ., Вы писали:
.>On 12/07/2010 13:29, venicum wrote:
>> .>Какие ключи? В каком общем случае? Certificate authority что-ли? >> Открытые и закрытые, которые используются для шифрования. >> Общий случай: комп юзера, комп сервера и они должны знать ключи >> соответственно. .>У юзера в браузере есть root certs, серверный cert подписан одним из рутовых, клиент проверяет подпись. Читай про cert authority.
Спасибо это я и хотел услышать. Я знаю про сертификаты, просто здесь о них не упоминали (или я не заметил), поэтому уточнил.
KV>А какая связь между конфиденциальностью и целостностью учетных данных и прочего трафика?
Тут проблема в другом. Такое шифрование — для бедных. Без подписи открытого ключа все, что автор делает бессмысленно, ибо в случае настоящей атаки ему просто-напросто подсунут вражеский ключ.
Здравствуйте, Vamp, Вы писали:
KV>>А какая связь между конфиденциальностью и целостностью учетных данных и прочего трафика?
V>Тут проблема в другом. Такое шифрование — для бедных. Без подписи открытого ключа все, что автор делает бессмысленно, ибо в случае настоящей атаки ему просто-напросто подсунут вражеский ключ.
Наше приложение для локальной сети. Никто из сети атаковать его по настоящему не будет, просто нет смысла.
Логин и пароль нужно криптовать потому, что они используются для логина в другие(более важные) модули продукта.
Здравствуйте, venicum, Вы писали:
V>Здравствуйте, ., Вы писали:
.>>On 09/06/2010 12:55, Sokil wrote:
.>>Какой смысл криптовать пароль/логин, если потом, после авторизации, все данные будут гоняться незащищёнными?
V>А мне интересно как, в общем случае, раздаются ключи?
Ключ генерятся на сервере и по необходимости(прилогине) клиент его запрашивает через веб-сервис.
Здравствуйте, Аноним, Вы писали:
А>Точно такая же проблема, нужно шифровать на Javascript, а на сервере расшифровывать, автор темы, вы нашли решение?
Проблему решил.
Вот самая удачная реализация RSA криптования на скриптах: http://www-cs-students.stanford.edu/~tjw/jsbn/
Есть одна проблема с предупреждением IE(много операций и он думает, что скрипт завис) лечится изменением ключа реестра.
На сервере декриптую стандартными средствами Java.
Примеров в нэте куча. Если коротко, то так:
On 11/08/10 17:13, Sokil wrote:
> Наше приложение для локальной сети. Никто из сети атаковать его по > настоящему не будет, просто нет смысла. > Логин и пароль нужно криптовать потому, что они используются для логина > в другие(более важные) модули продукта.
А значит будут делать банальный фишинг паролей, чтобы получить пароль в другие, более важные модули продукта. А если и это смысла не имеет, то какой вообще смысл в криптовании? Используйте обычный XOR — проблем меньше и работает быстрее.
Posted via RSDN NNTP Server 2.1 beta
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
