SSL

Teuzz · Příspěvek od **Teuzz** » stř 23. lis 2005, 20:26

Ahoj, potřeboval bych malinko pomoct s OpenSSL. Samozřejmě jsem projel PHP manuál, googloval, ale moc jsem nenašel. Dělám Informační sytém a potřeboval bych to zabezpečit malinko líp než Session, prostě krz SSL.
Můžete mi sem napsat třeba v jakém pořadí použít které fce, předhodit mi nějaký příklad nebo alespoň odkázat na nějakou stránku, která o tom pojednává? Moc díky...

sheriff.wiggum

eh? to je starost serveru prece kdy komunikujes (nejcasteji) na jinem portu a s pomoci certifikatu (klice). s php to nema nic spolecneho

Teuzz · Příspěvek od **Teuzz** » stř 23. lis 2005, 21:42

sheriff.wiggum píše:eh? to je starost serveru prece kdy komunikujes (nejcasteji) na jinem portu a s pomoci certifikatu (klice). s php to nema nic spolecneho

Chceš mi tvrdit, že napíšu do adresy https:// a tím končím?

K čemu je pak tohle: http://aspn.activestate.com/ASPN/docs/P ... enssl.html???

sheriff.wiggum

tak to jsem ani nevedel ze neco takoveho v php je

//kdyz uz tak neco cesky http://php.ftp.cvut.cz/manual/cs/ref.openssl.php

viki_ · Příspěvek od **viki_** » čtv 24. lis 2005, 08:44

Teuzz píše: Chceš mi tvrdit, že napíšu do adresy https:// a tím končím?
K čemu je pak tohle: http://aspn.activestate.com/ASPN/docs/P ... enssl.html???

Zalezi na tom, jestli ti staci pouze anonymni SSL, nebo jestli budes vyzadovat overovani certifikatem. Uvedene funkce ti budou k uzitku ve druhem pripade (pokud to overovani bude probihat na urovni tveho programu).

Teuzz · Příspěvek od **Teuzz** » čtv 24. lis 2005, 10:01

viki_ píše:
Teuzz píše: Chceš mi tvrdit, že napíšu do adresy https:// a tím končím?
K čemu je pak tohle: http://aspn.activestate.com/ASPN/docs/P ... enssl.html???
Zalezi na tom, jestli ti staci pouze anonymni SSL, nebo jestli budes vyzadovat overovani certifikatem. Uvedene funkce ti budou k uzitku ve druhem pripade (pokud to overovani bude probihat na urovni tveho programu).

Potřebuju si ověřit identitu přihlášeného uživatele. Doposud používám Sessions, ale poběží to na šk. serveru, který nemá zrovna ideální hesla, a tak je možný, že se někdo dohrabe k tomu, aby si session přepsal....

čili - potřebuju nejspíš to druhý, že?

viki_ · Příspěvek od **viki_** » čtv 24. lis 2005, 10:18

Teuzz píše: Potřebuju si ověřit identitu přihlášeného uživatele. Doposud používám Sessions, ale poběží to na šk. serveru, který nemá zrovna ideální hesla, a tak je možný, že se někdo dohrabe k tomu, aby si session přepsal....
čili - potřebuju nejspíš to druhý, že?

Ale v druhem pripade bys musel na serveru nekde drzet seznam certifikatu klientu, navic resit to, ze kazdy klient, ktery se chce prihlasit k tve aplikaci, musi mit k dispozici svuj certifikat a priv. klic.

Pokud je komunikace sifrovana, udaje v requestu nikdo neprepise.
Trosku nerozumim tomu, jak se "se někdo dohrabe k tomu, aby si session přepsal". Prepsani id session == ztrata navazaneho spojeni. Jedine, co teoreticky v pripade nesifrovane komunikace hrozi, ze nekdo odchyti id vytvorene session a na zaklade toho se pripoji k serveru, pripadne pokud pujde sitova komunikace skrz jeho pocitac, muze napr. pozmenit udaje v zasilanem requestu.

Teuzz · Příspěvek od **Teuzz** » čtv 24. lis 2005, 10:24

viki_ píše: Pokud je komunikace sifrovana, udaje v requestu nikdo neprepise.
Trosku nerozumim tomu, jak se "se někdo dohrabe k tomu, aby si session přepsal". Prepsani id session == ztrata navazaneho spojeni. Jedine, co teoreticky v pripade nesifrovane komunikace hrozi, ze nekdo odchyti id vytvorene session a na zaklade toho se pripoji k serveru, pripadne pokud pujde sitova komunikace skrz jeho pocitac, muze napr. pozmenit udaje v zasilanem requestu.

Prepsani id session != ztrata spojeni. To mam odzkoušeno na WAMPu (můj localhost)

ale jinak - jak tedy donutím server aby používal anonymní certifikaci?

viki_ · Příspěvek od **viki_** » čtv 24. lis 2005, 10:27

Teuzz píše:ale jinak - jak tedy donutím server aby používal anonymní certifikaci?

To uz zalezi na tom, jaky pouzivas webovy server

.
(umim to jen v Tomcatu)

viki_ · Příspěvek od **viki_** » čtv 24. lis 2005, 10:34

Teuzz píše: Prepsani id session != ztrata spojeni. To mam odzkoušeno na WAMPu (můj localhost)

To uz samozrejme zalezi na tom, cemu rikas spojeni (v pripade bezstavove komunikace jako je http) a jak mas resen login do aplikace. Pokud klient zmeni sve id session na zaklade ceho si tedy server asociuje obsah session prave s jeho requestem ? Proste pro klienta dojde ke ztrate vseho, co bylo na serveru predtim do jeho session ulozeno.

Teuzz · Příspěvek od **Teuzz** » čtv 24. lis 2005, 18:37

viki_ píše:
Teuzz píše: Prepsani id session != ztrata spojeni. To mam odzkoušeno na WAMPu (můj localhost)
To uz samozrejme zalezi na tom, cemu rikas spojeni (v pripade bezstavove komunikace jako je http) a jak mas resen login do aplikace. Pokud klient zmeni sve id session na zaklade ceho si tedy server asociuje obsah session prave s jeho requestem ? Proste pro klienta dojde ke ztrate vseho, co bylo na serveru predtim do jeho session ulozeno.

Já vůl, přehlíd jsem to ID a ještě jsem to zkopíroval..., jasně, OK

myslel jsem obsah session

Login mám řešen tako:

Zadáš heslo do políčka, přejde se POSTem na skript, který vybere heslo (md5) a login z DB (pokud jsou shodné), login a údaj o právech uloží do Session. Tam a do DB uloží také UID. Do DB pak jde spec. upravený otisk IP, který také srovnávám... (když na to tak koukám, není to až tak zlý...

)

viki_ · Příspěvek od **viki_** » pát 25. lis 2005, 08:30

Teuzz píše: Login mám řešen tako:

Zadáš heslo do políčka, přejde se POSTem na skript, který vybere heslo (md5) a login z DB (pokud jsou shodné), login a údaj o právech uloží do Session. Tam a do DB uloží také UID. Do DB pak jde spec. upravený otisk IP, který také srovnávám... (když na to tak koukám, není to až tak zlý... )

Me se to zda OK