Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Modrá je dobrá
zelená je lepší

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: fswsajl
[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
pepak pepak - Pepak.net 23.9.2011 06:45  7667
Podle popisu to vypadá spíš na to, že díky nevhodné implementaci protokolu jde vynutit šifrovací režim ECB, který je v mnoha ohledech výrazně slabší než ostatní šifrovací režimy a v některých případech dokonce umožňuje odhadnout přibližný vnitřek komunikace (moc hezký demo obrázek). Problém se navíc týká jen staré verze TLS, za kterou už dávno máme náhrady.
bredy 23.9.2011 06:33  7666
my o vlkuHttps prolomeno?
bredy 22.9.2011 21:32  7665
pepakasi to opravdu nema cenu. SSL znam, SSH pouzivam, ale chapej, ze tyhle technologie proste neni mozne nasadit na libovolny server tak jak jsou, protoze vyzaduji nemale usili a investovane financni prostredky a cas. Takze ano, vynalezam kolo, ale patentni,, neco, co se do webovky pripne a pojede to hned na prvni naslapnuti a bez dalsich provoznich nakladu s maximalnim pohodlim pro samotne uzivatele, jedine tak lze ze systemu vytriskat co nejvic uzitku a penez
pepak pepak - Pepak.net 22.9.2011 20:20  7664
Bredy: Hele, nechme toho. Evidentně se mi nedaří pochopit, co vlastně chceš implementovat, tudíž pak logicky nabízím řešení, která pro tvůj problém nejsou relevantní. Já jsem si původně myslel, že chceš dělat něco jako OpenID, akorát že uživatel nemusí mít ani jméno ani heslo, stačí mu certifikát, a že budeš dělat autentizační autoritu pro servery třetích stran. Pod tímto dojmem jsem ti doporučoval, co jsem ti doporučoval. Teď tu píšeš, že to tak není, že se klient bude ověřovat přímo na serveru, na který chce přihlásit, a pro to zase budou jiné mechanismy. Každopádně nemá smysl, abych se tu snažil vyvěštit, o co ti jde, a navrhnout řešení.

Pokud bys přeci jenom chtěl dělat "něco jako OpenID", i když teď tvrdíš opak, tak bych ti důrazně doporučil nastudovat si trochu to SSL a jeho možnosti. Protože to, co popisuješ, je přesně to vynalézání kola - SSL už to dávno má vyřešené a standardizované, jen to použít. Plus je tu ta drobnost, že tu proti SSL předkládáš argumenty, které prostě nejsou pravdivé (potřeba ověřeného certifikátu atd.).

No ale je to tvůj boj, pokud chceš kdovíjak dlouho vynalézat kolo, kdo jsem já, abych ti v tom bránil.
bredy 22.9.2011 19:27  7663
pepakVarianta verejnych a soukromych klicu, kterou jsem zminil (jako ssh) je mozne implementovat bez overovaciho serveru. Take nechapu smysl protlacovani https. To jako aby si zakaznik poridil overeny certifikat? Do toho se urcite kazdy pohrne
pepak pepak - Pepak.net 22.9.2011 19:18  7662
Bredy: Jenže ty nechápeš jednu podstatnou věc: To HTTPS nemusí mít web, který se přes tebe chce autentizovat. HTTPS musí mít autentizační server (to by neměl být problém) a klient (to není problém). Zákaznický server pouze přesměruje klienta na autentizační server a zpátky dostane odpověď buď "ano - Franta Vomáčka" nebo "ne". Jak konkrétně si to mezi sebou autentizační server s klientem ho nezajímá.
bredy 22.9.2011 17:53  7661
3)Browser ne. Může to jít přes web service Seznamu. A nebo mým způsobem, který je podobný, ale sedí blíže uživateli.
bredy 22.9.2011 17:51  7660
pepakhttps není samzořejmost. Já https na webu nemám. Spousta lidí https na webu nemá. Spousta drobných e-shopů https nemá.

Bod 4 jsi nepochopil. Autorizuješ sebe, ty jsi autorita. Při registraci vložíš svůj veřejný klíč, který sis ty vytvořil a při přihlášení se jen použije. Není potřeba ho mít ověřeného autoritou. Heslo taky nemáš ověřeno autoritou, neprokazuješ, že se opravdu jmenuješ Franta Vonásek z Vršovic. Webová služba jen ověřuje, že jsi ten samý člověk, co se u nich zaregistroval pod přezdívkou třeba "fravon". Nic víc. Databáze je samozřejmě neveřejná.

Můžeš si pro každý e-shop nechat vyrobit jiný certifikát. Opravdu nemusí být ověřen.
pepak pepak - Pepak.net 22.9.2011 12:07  7659
Ale pokud to chceš dělat jako službu, tak nevidím důvod, proč bys to nemohl udělat přes SSL a v tom bys měl všechny body vyřešené "zadarmo". Pro provozovatele webu, který chce autentizovat přes tebe, to znamená akorát to, že uživatele nepošle na URL http://www.bredyhoautentizace.cz/login, ale na https://www.bredyhoautentizace.cz/login
pepak pepak - Pepak.net 22.9.2011 12:05  7658
4) Tady myslím těžce narazíš. Za prvé, autorit může být libovolně mnoho (pokud nejsi státní instituce, tak nemáš důvod trvat na kvalifikovaném certifikátu; ostatní certifikáty může vydávat kdokoliv). Za druhé, nejsem si jistý, jestli publikují své databáze ve strojově zpracovatelné podobě. Za třetí, není jisté, že jejich infrastruktura umožňuje reagovat na dotazy v reálném čase. Za čtvrté, při vystavení certifikátu si mohu vybrat, jestli ho chci nebo nechci mít ve veřejné databázi uvedený. ---> Budeš muset jít cestou, že součástí registrace uživatele je jeho certifikát (tzn. pokud se normálně ptáš na login, heslo, jméno a e-mail, teď se budeš ptát na jméno, e-mail a veřejnou část certifikátu).

Dobrá zpráva je, že certifikát obsahuje i údaje, podle kterých se dá snadno vyhledat, takže nebudeš potřebovat ani login, ani heslo.

3) Za prvé, tohle nepůjde bez aktivního obsahu. Za druhé, velmi bych se divil, kdyby browser umožnil přístup k certifikátům skriptům (tzn. bude to chtít Javu, ActiveX, možná Flash nebo tak něco).
bredy 22.9.2011 11:57  7657
Jinak ten mnou navržený scénář vypadá takto:
1) uživatel klikne na přihlásit
2) stránka se zeptá prohlížeče (zatím nebudu popisovat jak), kdo se chce přihlásit. Prohlížeč to má někde nastaveny. Součástí požadavku je i náhodná sekvence dat.
3) prohlížeč pošle identifikaci a zašifruje náhodnou sekvenci dat soukromým klíčem uložený u identity.
4) webová stránka koukne do databáze, vytáhne k identitě veřejný klíč, dešifruje zašifrovanou sekvenci a porovná. Pokud odpovídá té, kterou odeslal, je uživatel autentifikován.

(Bez nutností mít HTTPS)

Cílem je, nabídnout serverům jednoduché řešení, tak, aby implementace měla minimum nákladů pro partnera. Ideálně jako nějaká knihovna v PHP, Pythonu, případně přímo v JS. Dešifrovat veřejným klíčem by snad mělo jít i v PHP. A kdyžtak mám v záloze variantu online dešifrátoru.
pepak pepak - Pepak.net 22.9.2011 11:54  7656
Nevím. Nemám vůbec tušení, jak je implementovaná serverová strana.
bredy 22.9.2011 11:51  7655
pepakAha, rozběhal bys tohle na webu nějakého běžného hostingu?
pepak pepak - Pepak.net 22.9.2011 11:02  7654
Mám takový matný dojem, že jsem to zkoušel i ve Firefoxu a že to tam taky fungovalo, ale jistý si tím nejsem.
pepak pepak - Pepak.net 22.9.2011 10:59  7653
Bredy: Já to znám jen z pohledu uživatele, jak konkrétně je to zařízeno nevím.

Vypadá to zhruba tak, že přes HTTPS*) požádám o webovou stránku XYZ. Server mi v rámci handshake prokáže svoji identitu a nějakým způsobem požádá o moji. Browser se mě zeptá, jakým certifikátem se chci autentizovat (nabídne z těch, které mám ve Windows uložené i s privátním klíčem), já si vyberu, klient pošle svoji část handshake a server ověří moji identitu. Podle úspěchu/neúspěchu a podle mých práv mi pak vrátí odpověď.

Takhle to každopádně chodí v IE. Ostatní browsery jsem nezkoumal, protože to potřebuji řídit programově a na IE se mohu spolehnout, že na všech klientských strojích bude. (A kromě toho se IE dá dobře programově ovládat.)

*) Stránka, se kterou komunikuji, je na HTTPS. Nevím, jestli je použití HTTPS povinné nebo ne, ale očekávám, že je.

[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt