Защита HTTP-авторизации без SSL?
Здравствуйте.
Интересно мнение по поводу вот этой статьи http://www.vladmiller.info/blog/index.php?comment=61
Насколько это серьезно и жизнеспособно?
Я хочу попробать реализовать предложенный алгоритм. Однако тратить время и силы на совсем уж далекий от реальности проект желания нет (сам определить его удаленность я не могу из-за скудности знаний)
И не будет ли уважаемый SATtva против?
Спасибо.
p.s. мне необходимо сваять что-нибудь в этом душе для курсового проекта. Заниматься реализациями всяких там деланых передаланых гостов неохота, хочется что-нибудь новое.
комментариев: 11558 документов: 1036 редакций: 4118
Ну, там в комментариях замечания высказаны. Это не слишком элегантная схема и в любом случае уязвимая. Главная проблема — риск подмены модуля javascript при его закачке пользователем. В принципе, поскольку скрипт открыт, пользователь может самостоятельно сверить его правильность, просмотрев код, но делать это придётся каждому, а многие ли на это способны?
Если Вы видите в этом перспективу, ничуть не буду. Можете даже опубликовать где-нибудь для свободного доступа, но и против коммерческого использования я не стану возражать. И, тем более, против образовательного. В общем, дело Ваше. Только не забудьте отметить все ограничения подобной схемы.
Буду благодарен за критику.
(выкладывать бесполезный для пользователей материал – засорять ресурс, поэтому я не делаю этого сейчас)
Спасибо.
комментариев: 11558 документов: 1036 редакций: 4118
Единственное нормальное рещение – SSL на всем сайте. Я могу предоставить хостинг для этого сайта с ssl, если вам это нужно.
комментариев: 143 документов: 31 редакций: 143
Буду благодарен за критику и предложения как по самому коду так и по протоколу. Хотелось бы сделать применимый на практике протокол.
Ищу единомышленников.
комментариев: 11558 документов: 1036 редакций: 4118
В целом, Вы правы, конечно, допущение с моей стороны было смелое. На эту идею меня невольно воодушевил unknown с высказанными как-то опасениями, что пароль для доступа к сайту может быть перехвачен преступным Tor-узлом. Для подобного узкого случая схема вполне пригодна (если не рассматривать другие её проблемные места, уже отмеченные выше).
За предложение хостинга спасибо, но мы уже набегались. Отсутствие SSL сейчас упирается в недостаток моего времени для доработки движка, чтобы ввести поддержку защищённых сессий.
В случае, если пользователь сам указывает ip прокси для разрешения с него соединений, то теряется весь смысл защиты от mitm. Если не указывает, то сам не сможет через прокси работать.
В случае, если пользователь работает напрямую, то изменение трафика возможно только на маршрутизаторе, ну а для него не проблема использовать ip пользователя для создания своих соединений.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 143 документов: 31 редакций: 143
комментариев: 11558 документов: 1036 редакций: 4118
Кстати, мне где-то попадалась компактная реализация части протокола OpenPGP на javascript; тормозная, но в целом довольно неплохо. Можно покопать в этом направлении.
комментариев: 143 документов: 31 редакций: 143
А есть ли координальные отличия обсуждаемой идеи от протокола CHAP?
http://wiki.satgate.net/index.php/CHAP
комментариев: 11558 документов: 1036 редакций: 4118