Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Komu se nelení,
tomu se zelení.

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: obfntcg
[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
bredy 22.9.2011 19:27  7663
pepakVarianta verejnych a soukromych klicu, kterou jsem zminil (jako ssh) je mozne implementovat bez overovaciho serveru. Take nechapu smysl protlacovani https. To jako aby si zakaznik poridil overeny certifikat? Do toho se urcite kazdy pohrne
pepak pepak - Pepak.net 22.9.2011 19:18  7662
Bredy: Jenže ty nechápeš jednu podstatnou věc: To HTTPS nemusí mít web, který se přes tebe chce autentizovat. HTTPS musí mít autentizační server (to by neměl být problém) a klient (to není problém). Zákaznický server pouze přesměruje klienta na autentizační server a zpátky dostane odpověď buď "ano - Franta Vomáčka" nebo "ne". Jak konkrétně si to mezi sebou autentizační server s klientem ho nezajímá.
bredy 22.9.2011 17:53  7661
3)Browser ne. Může to jít přes web service Seznamu. A nebo mým způsobem, který je podobný, ale sedí blíže uživateli.
bredy 22.9.2011 17:51  7660
pepakhttps není samzořejmost. Já https na webu nemám. Spousta lidí https na webu nemá. Spousta drobných e-shopů https nemá.

Bod 4 jsi nepochopil. Autorizuješ sebe, ty jsi autorita. Při registraci vložíš svůj veřejný klíč, který sis ty vytvořil a při přihlášení se jen použije. Není potřeba ho mít ověřeného autoritou. Heslo taky nemáš ověřeno autoritou, neprokazuješ, že se opravdu jmenuješ Franta Vonásek z Vršovic. Webová služba jen ověřuje, že jsi ten samý člověk, co se u nich zaregistroval pod přezdívkou třeba "fravon". Nic víc. Databáze je samozřejmě neveřejná.

Můžeš si pro každý e-shop nechat vyrobit jiný certifikát. Opravdu nemusí být ověřen.
pepak pepak - Pepak.net 22.9.2011 12:07  7659
Ale pokud to chceš dělat jako službu, tak nevidím důvod, proč bys to nemohl udělat přes SSL a v tom bys měl všechny body vyřešené "zadarmo". Pro provozovatele webu, který chce autentizovat přes tebe, to znamená akorát to, že uživatele nepošle na URL http://www.bredyhoautentizace.cz/login, ale na https://www.bredyhoautentizace.cz/login
pepak pepak - Pepak.net 22.9.2011 12:05  7658
4) Tady myslím těžce narazíš. Za prvé, autorit může být libovolně mnoho (pokud nejsi státní instituce, tak nemáš důvod trvat na kvalifikovaném certifikátu; ostatní certifikáty může vydávat kdokoliv). Za druhé, nejsem si jistý, jestli publikují své databáze ve strojově zpracovatelné podobě. Za třetí, není jisté, že jejich infrastruktura umožňuje reagovat na dotazy v reálném čase. Za čtvrté, při vystavení certifikátu si mohu vybrat, jestli ho chci nebo nechci mít ve veřejné databázi uvedený. ---> Budeš muset jít cestou, že součástí registrace uživatele je jeho certifikát (tzn. pokud se normálně ptáš na login, heslo, jméno a e-mail, teď se budeš ptát na jméno, e-mail a veřejnou část certifikátu).

Dobrá zpráva je, že certifikát obsahuje i údaje, podle kterých se dá snadno vyhledat, takže nebudeš potřebovat ani login, ani heslo.

3) Za prvé, tohle nepůjde bez aktivního obsahu. Za druhé, velmi bych se divil, kdyby browser umožnil přístup k certifikátům skriptům (tzn. bude to chtít Javu, ActiveX, možná Flash nebo tak něco).
bredy 22.9.2011 11:57  7657
Jinak ten mnou navržený scénář vypadá takto:
1) uživatel klikne na přihlásit
2) stránka se zeptá prohlížeče (zatím nebudu popisovat jak), kdo se chce přihlásit. Prohlížeč to má někde nastaveny. Součástí požadavku je i náhodná sekvence dat.
3) prohlížeč pošle identifikaci a zašifruje náhodnou sekvenci dat soukromým klíčem uložený u identity.
4) webová stránka koukne do databáze, vytáhne k identitě veřejný klíč, dešifruje zašifrovanou sekvenci a porovná. Pokud odpovídá té, kterou odeslal, je uživatel autentifikován.

(Bez nutností mít HTTPS)

Cílem je, nabídnout serverům jednoduché řešení, tak, aby implementace měla minimum nákladů pro partnera. Ideálně jako nějaká knihovna v PHP, Pythonu, případně přímo v JS. Dešifrovat veřejným klíčem by snad mělo jít i v PHP. A kdyžtak mám v záloze variantu online dešifrátoru.
pepak pepak - Pepak.net 22.9.2011 11:54  7656
Nevím. Nemám vůbec tušení, jak je implementovaná serverová strana.
bredy 22.9.2011 11:51  7655
pepakAha, rozběhal bys tohle na webu nějakého běžného hostingu?
pepak pepak - Pepak.net 22.9.2011 11:02  7654
Mám takový matný dojem, že jsem to zkoušel i ve Firefoxu a že to tam taky fungovalo, ale jistý si tím nejsem.
pepak pepak - Pepak.net 22.9.2011 10:59  7653
Bredy: Já to znám jen z pohledu uživatele, jak konkrétně je to zařízeno nevím.

Vypadá to zhruba tak, že přes HTTPS*) požádám o webovou stránku XYZ. Server mi v rámci handshake prokáže svoji identitu a nějakým způsobem požádá o moji. Browser se mě zeptá, jakým certifikátem se chci autentizovat (nabídne z těch, které mám ve Windows uložené i s privátním klíčem), já si vyberu, klient pošle svoji část handshake a server ověří moji identitu. Podle úspěchu/neúspěchu a podle mých práv mi pak vrátí odpověď.

Takhle to každopádně chodí v IE. Ostatní browsery jsem nezkoumal, protože to potřebuji řídit programově a na IE se mohu spolehnout, že na všech klientských strojích bude. (A kromě toho se IE dá dobře programově ovládat.)

*) Stránka, se kterou komunikuji, je na HTTPS. Nevím, jestli je použití HTTPS povinné nebo ne, ale očekávám, že je.
bredy 22.9.2011 10:37  7652
pepakJak? Nechám se poučit, abych to pak mohl implementovat na svem webu.
pepak pepak - Pepak.net 22.9.2011 10:15  7651
Bredy: Prohlížeče to podporují.
bredy 22.9.2011 09:07  7650
makovecJenže ty nikdy nebudeš třetí straně dávat heslo. Dokážeš si představit autentifikaci na základě vzájemné výměny podepsaných certifikátů mezi autoritami?

Viděl jsi někdy přihlašování třeba na SSH server? Tam si taky můžeš vystavit public key a pak se přihlásíš bez hesla. Proč tohle nepodporují prohlížeče a stránky?
makovec makovec Chuck Norris snědl jídlo od Babicy - a ještě si přidal 22.9.2011 07:47  7649
me ale nejde o to kdo by smiroval me. me de o to, ze nakou blbou shodou nahod, vlastni lamerinou nekomu dam sanci dostat my prihlasovaci udaje a pak u to nebude jen prihlaseni do gmailu, do objednavek pizzy nebo treba na vyber nejlepsich pornosajt.

system jedno heslo na vsechno mi v tomhle prijde dementni

[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt