http / https login

0

0

галку на login форму 'использовать https' . вопрос в том, сертификат на сервер свой генерить или есть все-таки в жизни счастье и можно бесплатный нормально рабочий получить? (чтобы браузер не выдавал предупреждения, .... и про сыр я тоже знаю, но платить $300 +-100 в год - сумашедших нет)

Ссылка

←	Новые тролли

ого, за такое тоже удаляют!

→

а зачем на лоре https? тут вроде ничего секретного нет

JB ★★★★★
(09.07.07 18:27:26 MSD)

Ответ на: комментарий от JB 09.07.07 18:27:26 MSD

Присоединяюсь.
CPU нечем занять?

~~sdio~~ ★★★★★
(09.07.07 18:28:28 MSD)

Ссылка

Ответ на: комментарий от JB 09.07.07 18:27:26 MSD

https://linux.org.ru уже есть, там green'a страница :-)

~~sdio~~ ★★★★★
(09.07.07 18:30:11 MSD)

Ссылка

http://cert.startcom.org/

Most software vendors like Mozilla (Firefox), Apple (Safari) and KDE (Konqueror) already approved the StartCom Certification Authority and is scheduled to be included in most popular browsers and mail clients. Sometimes you still have to import our CA certificate into your browser.

остальное либо платно - либо триал на пару месяцев

AcidumIrae ★★★★★
(09.07.07 18:31:20 MSD)

Я сгенерировал сертификат на http://cacerts.com/ для доступа к SVN/Trac. Броузеры его, правда, тоже не едят по-умолчанию. Но это лучше чем самоподписанный сертификат.

maxcom ★★★★★
(09.07.07 18:32:23 MSD)

Ссылка

Ответ на: комментарий от AcidumIrae 09.07.07 18:31:20 MSD

Если верить этому, то только опера да осел "остались"

http://cert.startcom.org/?app=140

:)))

AcidumIrae ★★★★★
(09.07.07 18:32:44 MSD)

Ссылка

У Verisign/Thawte дорого, а вот здесь за $18 в год: https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979. Хотя сам только с Thawte дело имел. :-) Кстати, если HTTPS используется только при логине, это ни от чего не защищает.

true
(09.07.07 18:36:36 MSD)

Ответ на: комментарий от true 09.07.07 18:36:36 MSD

> У Verisign/Thawte дорого, а вот здесь за $18 в год: https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979. Хотя сам только с Thawte дело имел. :-) Кстати, если HTTPS используется только при логине, это ни от чего не защищает.

Хочется чтобы пароль при аутентификации не передавался открытым текстом

maxcom ★★★★★
(09.07.07 18:38:40 MSD)

Ответ на: комментарий от maxcom 09.07.07 18:38:40 MSD

>Хочется чтобы пароль при аутентификации не передавался открытым текстом

Зато кукисы после авторизации будут передаваться открытым текстом, если там не будет HTTPS.

BTW, если страница, на которой форма ввода пароля, передавалась через HTTP, man-in-the-middle может поменять action у формы, и пароль уйдет на его сервер.

true
(09.07.07 18:43:40 MSD)

2 maxcom:

Насчёт пароля - реализовать любую challenge response схему - дело пяти минут - скрипты в google'е за пять минут ищутся.

Зачем SSL?

birdie ★★★★★
(09.07.07 19:10:54 MSD)

Ответ на: комментарий от birdie 09.07.07 19:10:54 MSD

Да, а cookies для безопасности нужно тоже obfuscate по challenge response алгоритму с _использованием_ IP.

Тогда даже если у тебя печенье стырят, то съесть его не смогут ;-)

birdie ★★★★★
(09.07.07 19:13:17 MSD)

Ответ на: комментарий от birdie 09.07.07 19:13:17 MSD

>Да, а cookies для безопасности нужно тоже obfuscate по challenge response алгоритму с _использованием_ IP.

А теперь вспоминаем про NAT.

Да, и ты правда думаешь, что если смогли перехватить трафик, то не смогут заменить его своим, происходящим с твоего же IP?

true
(09.07.07 19:20:37 MSD)

Ссылка

Всё-таки у svyatogor'а пароль свистнули?

Ay49Mihas ★★★★
(09.07.07 19:41:45 MSD)

Ответ на: комментарий от Ay49Mihas 09.07.07 19:41:45 MSD

присоединюсь к вопросу :)

gr_buza ★★★★
(09.07.07 22:56:35 MSD)

Ссылка

Ответ на: комментарий от true 09.07.07 18:43:40 MSD

> Зато кукисы после авторизации будут передаваться открытым текстом, если там не будет HTTPS.

я еще не читал про всякие challenge-response, но

1) если в хеш куки генерировать из 2-х состовляющих : passwd + ip , то это спасет или нет? :)

2) если смотреть пример gmail.com , то у них URL это сам url+hash, что в общем-то не слишком красиво смотрится. Копировать такие ссылки опять же не удобно. Все эти самые challenge-response алгоритмы, на такой схеме работают?

anonymous
(10.07.07 10:55:11 MSD)

Ответ на: комментарий от anonymous 10.07.07 10:55:11 MSD

Какой ленивый народ - первая ссылка в Google:

http://en.wikipedia.org/wiki/Challenge-response_authentication

http://ru.wikipedia.org/wiki/%D0%92%D1%8B%D0%B7%D0%BE%D0%B2-%D0%BE%D1%82%D0%B...

(Да, русский перевод меня просто убивает: Вызов-ответ (авторизация). А на меня всё наезжают по поводу English'a).

Взлом практически невозможен.

birdie ★★★★★
(10.07.07 18:29:49 MSD)

Ответ на: комментарий от birdie 10.07.07 18:29:49 MSD

Пример реализации: http://en.wikipedia.org/wiki/CRAM-MD5

birdie ★★★★★
(10.07.07 18:31:29 MSD)

Ответ на: комментарий от birdie 10.07.07 18:29:49 MSD

>Взлом практически невозможен.

Если ты софта сложнее снифферов в жизни не видел. :-)

true
(10.07.07 18:52:53 MSD)

Ответ на: комментарий от true 10.07.07 18:52:53 MSD

> Если ты софта сложнее снифферов в жизни не видел

По какой бы дороге ни шел глупый, у него всегда недостает смысла, и всякому он выскажет, что он глуп.

birdie ★★★★★
(10.07.07 19:04:15 MSD)

Ответ на: комментарий от birdie 10.07.07 19:04:15 MSD

birdie, раз ты у нас такой умный, объясни мне пожалуйста, как challenge response защитит от man-in-the-middle атак, которые изменяют ответ сервера?

true
(10.07.07 19:08:30 MSD)

Ответ на: комментарий от birdie 10.07.07 18:31:29 MSD

эээ... ну про challenge-response алгоритмы в общих чертах я был вкурсе. ты бы еще 'man openssl' сказал, мол в нем и примеры. Мне интересно конкретные реализации этого или пример для web-аутентификации где-нибудь есть?

mator ★★★★★
(10.07.07 22:47:08 MSD) автор топика