Szyny: Czy klejnot jest bezpieczny?

Mam swoje uwierzytelnienie w mojej aplikacji internetowej działającej na klejnocie devise. Zastanawiałem się, czy to było bezpieczne. Tak, przechowuje hasła jako hashe w bazie danych, używa zaszyfrowanych tokenów po zalogowaniu itp. Ale jak w początkowej fazie logowania? Czy wysyła nieautoryzowane hasło użytkownika przez Internet (ja nie mam SSL)? Czy klient może zaszyfrować go za pomocą określonego klucza publicznego, który tylko serwer mógłby odszyfrować? Czy też SSL jest jedynym sposobem szyfrowania hasła użytkownika?Szyny: Czy klejnot jest bezpieczny?

Dzięki!

Źródło

2012-05-03 Karan

Podczas korzystania z przeglądarek jako klient, TLS jest jedynym sposobem ochrony przed MiTM/aktywnych atakujących. Istnieje kilka technik ochrony przed atakującymi, ale zdecydowanie polecam TLS. – CodesInChaos

"Należy pamiętać, że funkcja podstawowego uwierzytelniania HTTP przesyła nazwę użytkownika i hasło w postaci zwykłego tekstu, dlatego nie należy używać tej metody w aplikacjach, w których wymagany jest wyższy poziom zabezpieczeń."

http://pivotallabs.com/users/ledwards/blog/articles/1534-http-basic-authentication-and-devise

Źródło

2012-05-27 00:41:12 Karan

Jest bezpieczny, pamiętaj, że szyny używają authenticity_token. Nie słyszałem jeszcze o problemach.

Źródło

2012-05-03 10:34:19 Benjamin

ah - czy token uwierzytelniania służy do szyfrowania hasła użytkownika, na przykład w samym kliencie? – Karan

Sprawdź to. http://stackoverflow.com/questions/941594/understand-rails-authenticity-token – Benjamin

Świetne wyjaśnienie. Dzięki Vezu. Z tego co rozumiem, token uwierzytelniania jest używany do ochrony użytkowników przed CSRF - token uwierzytelniania jest przechowywany w polu formularzy, jednak nadal nie mówi, czy formularz wysłany na serwer jest zwykłym tekstem, czy jest zaszyfrowany przez token. – Karan

Szyny: Czy klejnot jest bezpieczny?

Odpowiedz

Powiązane problemy