Odhalení soli v hesle – JavaScript, AJAX, jQuery – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Odhalení soli v hesle – JavaScript, AJAX, jQuery – Fórum – Programujte.comOdhalení soli v hesle – JavaScript, AJAX, jQuery – Fórum – Programujte.com

 

_Radek_
~ Anonymní uživatel
88 příspěvků
2. 10. 2011   #1
-
0
-

Zdravím,

poslední dobou jsem experimentoval a napsal jsem přihlašovaní script využívající AJAX, který zažádá server o náhodné data, pomocí kterých se vytvoří unikátní hash hodnota z hesla. Ta se následně posílá zpět na server. Tím jsem chtěl eliminovat tu nevýhodu, že standardně se hesla z html formulářů posílají v textové formě a jsou tudíž "viditelné".

Ale o co mi jde. Mezi daty získané ze serveru je mimo jiné i sůl použitá k uložení hash hodnoty hesla do databáze. Sůl je tedy také potencionálně odhalitelná a mě by zajímalo, jak velký je to problém s ohledem na bezpečnost ? Je to pro útočníka stále relativně jednoduché získat originální heslo, když zná hodnotu soli ?

Nahlásit jako SPAM
IP: 91.187.60.–
Curo
~ Šéfredaktor
+8
Hero
2. 10. 2011   #2
-
+1
-
Zajímavé

#1 _Radek_
V zásadě tak může útočník získat "sůl" samotnou a zjistit tak heslo, které je posílané. Jako bezpečností prvek je to tedy zbytečný prvek.

Nehledě na to, že data taháš ze serveru a až u klienta heslo "sestavuješ" - což lze povětšinou jednoduše zjistit, jak takový hash sestavuješ, v veřejného JS souboru.

Pozici útočníka tak tímto nijak nesnižuješ, toto je průhledné řešení.

Raději zakóduj data rovnou do MD5 pomocí JS f-ce md5() - bez soli, poněvadž sůl je snadné z klienta zjistit.

Nahlásit jako SPAM
IP: 90.180.158.–
Guitar Hero Master, Project führer & zdejší čaroděj.
Sleduj mě na twitteru – @lukaschury.
_Radek_
~ Anonymní uživatel
88 příspěvků
2. 10. 2011   #3
-
0
-

Pokud bych sůl posílal k uživateli nejdříve zahashovanou a byla by dostatečně dlouhá - řekněme 128 znaků + speciální znaky atd, zpětné získání soli by již bylo časově náročné nebo ne (rainbow tabulky pro tak dlouhé řetězce musejí být opravdu velké) ? A navíc by pak musel ještě získat samotné heslo. To už by mohlo laťku o něco zvýšit ...

Nahlásit jako SPAM
IP: 91.187.60.–
_Radek_
~ Anonymní uživatel
88 příspěvků
2. 10. 2011   #4
-
0
-

Což vlastně nic neřeší, jen nahradím jeden řetězec za druhý ...

Tento přístup asi nemá smysl a upustím od toho, ale díky za odpověď :)

Nahlásit jako SPAM
IP: 91.187.60.–
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 17 hostů

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý