| Вопрос: Скрытие пароля от пользователя при входе на сайт | Добавлено: 22.02.08 15:10 |
Автор вопроса:  Stasik
|
|
Приветствую всех специалистов!
Давно здесь недыл... Есть вопрос к шифровальщикам! Задание: На страничьке в интернете есть 2 формы (Login + Pass). Требуется сохранить пароль и логин в программе. Программа должна заполнять данные формы сохранёнными паролем и логином. После чего будет производиться вход на сайт и оттуда программа будет получать некую ссылку на фаил. Проблема:Как осуществить всё это и оставить пароль и логин в секрете от пользователя? 1. Как зашифровать пароль и логин и сохранить его в программе. 2. Возможно ли вообще осуществить вход на сайт под определлёным логином программно, при этом не давая пользователю возможности отследить пароль и логин? Первое менее важно. Приблизительно знаю как это осуществить. Нужно только определиться с кодером. А вот второе остаётся для меня секретом... Заранее огромное Вам спасибо за помощь! С Уважением Станислав... |
| Ответы | Всего ответов: 8 |
|
Номер ответа: 1 Автор ответа:  User Unknown Вечный Юзер! ICQ: uu@jabber.cz Вопросов: 120 Ответов: 3302 |
Профиль | | #1 | Добавлено: 22.02.08 15:14 |
| 2. POST method. | ||
|
Номер ответа: 2 Автор ответа:  Stasik Вопросов: 3 Ответов: 21 |
Профиль | | #2 | Добавлено: 22.02.08 15:31 |
|
Как заполнить формы и залогиниться на сайте программно я знаю. Это не проблема...
Возможно ли вообще осуществить передачу логина и пароля так чтобы их нельзя было отследить? Ведь при открытой передачи пароль всё равно можно будет отследиь в логах или снифером... |
||
|
Номер ответа: 3 Автор ответа: User UnknownВечный Юзер! ICQ: uu@jabber.cz Вопросов: 120 Ответов: 3302 |
Профиль | | #3 | Добавлено: 22.02.08 15:56 |
| По HTTP - нельзя. | ||
|
Номер ответа: 4 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #4 | Добавлено: 22.02.08 17:20 |
|
Можно отсылать хеш пароля. Например md5
Отследить и подделать запрос всеравно смогут, но узнать перехваченный пароль будет проблематично. HTTP-POST запросы перехватываются ничуть не хуже чем GET Заместо HTTP лучше использовать HTTPS, если это поддерживает сервер. Тема для меня тёмная. Но гугля наверняка знает. |
||
|
Номер ответа: 5 Автор ответа: AntiXakerВопросов: 1 Ответов: 24 |
Web-сайт: Профиль | | #5 | Добавлено: 23.02.08 22:52 |
|
Торитически это нельзя зделать так как при загзузки каждой страницы тебе надо проверять пороль.
А вот практически можно. Вариант а) можно с помощью двухстаронней шифровки пароля. То есть прога связывается с сайтом получает ключ шифрует пароль и отправляет. Сайт проверяет время отправки ключа и прихода пороля если они имею разницу в 5 сек. выдает ложную страницу (полностью эдентичную, но без дейтвенную), если разница меньше 5 сек. проверяет шифрованный пароль. Дополнительно Кидай всякий мусор вовремя шифровки. К примеру на другую страницу. Хакера это бездельники (личный опыт) быстро брасают такой код. |
||
|
Номер ответа: 6 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #6 | Добавлено: 23.02.08 23:22 |
|
Можно отсылать хеш пароля. Например md5
А зачем мне пароль, если я буду знать хеш, которого вполне хватит? Отследить и подделать запрос всеравно смогут, но узнать перехваченный пароль будет проблематично. 
Торитически это нельзя зделать так как при загзузки каждой страницы тебе надо проверять пороль. Т.е. ты думаешь что всех хакеры такие как ты, и они даже не подозревают о существовании сессий?
Вариант а) можно с помощью двухстаронней шифровки пароля. То есть прога связывается с сайтом получает ключ шифрует пароль и отправляет.
Сайт проверяет время отправки ключа и прихода пороля если они имею разницу в 5 сек. выдает ложную страницу (полностью эдентичную, но без дейтвенную), если разница меньше 5 сек. проверяет шифрованный пароль. Дополнительно Кидай всякий мусор вовремя шифровки. К примеру на другую страницу. Вариант Б забыл ) Впрочем, если бы он был, такой же как А, то всё что мне нужно - снифер.
Хакера это бездельники (личный опыт) быстро брасают такой код. Ага, и слава яйцам! Не, а ты представь, что все хакеры бы были оочень настойчевые и терпеливые? Врядли бы тогда вообще существовали коммерческие ИТ, ведь ломали бы всё, лубую прогу, любые сайты А так нет, выбор такой, что нет смысла сидеть раздупляясь в странице мусора, когда рядом на этом же сервере есть такой же дырявый сайт, и криво настроенные права на чтение /etc/passwd...
Вообщем +1 за HTTPS. Только я не совсем понял, авторизация на сайте или в программе? Если в программе, то можно авторизироваться используя принцип Деффи-Хелмана. |
||
|
Номер ответа: 7 Автор ответа: StasikВопросов: 3 Ответов: 21 |
Профиль | | #7 | Добавлено: 24.02.08 06:54 |
| Авторизация на сайте программно. Т.е. пасс должен храниться в программе и заполняться на страницу сайта... | ||
|
Номер ответа: 8 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #8 | Добавлено: 25.02.08 17:18 |
|
А зачем мне пароль, если я буду знать хеш, которого вполне хватит?
Ну проблема-то ("Как осуществить всё это и оставить пароль и логин в секрете от пользователя?"  решается =D
|
||
Страница: 1 |