Stránka 1 z 1
SSL
Napsal: stř 23. lis 2005, 20:26
od Teuzz
Ahoj, potřeboval bych malinko pomoct s OpenSSL. Samozřejmě jsem projel PHP manuál, googloval, ale moc jsem nenašel. Dělám Informační sytém a potřeboval bych to zabezpečit malinko líp než Session, prostě krz SSL.
Můžete mi sem napsat třeba v jakém pořadí použít které fce, předhodit mi nějaký příklad nebo alespoň odkázat na nějakou stránku, která o tom pojednává? Moc díky...
Napsal: stř 23. lis 2005, 21:26
od sheriff.wiggum
eh? to je starost serveru prece kdy komunikujes (nejcasteji) na jinem portu a s pomoci certifikatu (klice). s php to nema nic spolecneho
Napsal: stř 23. lis 2005, 21:42
od Teuzz
sheriff.wiggum píše:eh? to je starost serveru prece kdy komunikujes (nejcasteji) na jinem portu a s pomoci certifikatu (klice). s php to nema nic spolecneho
Chceš mi tvrdit, že napíšu do adresy https:// a tím končím?
K čemu je pak tohle:
http://aspn.activestate.com/ASPN/docs/P ... enssl.html???
Napsal: stř 23. lis 2005, 23:06
od sheriff.wiggum
tak to jsem ani nevedel ze neco takoveho v php je
//kdyz uz tak neco cesky
http://php.ftp.cvut.cz/manual/cs/ref.openssl.php
Napsal: čtv 24. lis 2005, 08:44
od viki_
Zalezi na tom, jestli ti staci pouze anonymni SSL, nebo jestli budes vyzadovat overovani certifikatem. Uvedene funkce ti budou k uzitku ve druhem pripade (pokud to overovani bude probihat na urovni tveho programu).
Napsal: čtv 24. lis 2005, 10:01
od Teuzz
viki_ píše:
Zalezi na tom, jestli ti staci pouze anonymni SSL, nebo jestli budes vyzadovat overovani certifikatem. Uvedene funkce ti budou k uzitku ve druhem pripade (pokud to overovani bude probihat na urovni tveho programu).
Potřebuju si ověřit identitu přihlášeného uživatele. Doposud používám Sessions, ale poběží to na šk. serveru, který nemá zrovna ideální hesla, a tak je možný, že se někdo dohrabe k tomu, aby si session přepsal....
čili - potřebuju nejspíš to druhý, že?
Napsal: čtv 24. lis 2005, 10:18
od viki_
Teuzz píše:
Potřebuju si ověřit identitu přihlášeného uživatele. Doposud používám Sessions, ale poběží to na šk. serveru, který nemá zrovna ideální hesla, a tak je možný, že se někdo dohrabe k tomu, aby si session přepsal....
čili - potřebuju nejspíš to druhý, že?
Ale v druhem pripade bys musel na serveru nekde drzet seznam certifikatu klientu, navic resit to, ze kazdy klient, ktery se chce prihlasit k tve aplikaci, musi mit k dispozici svuj certifikat a priv. klic.
Pokud je komunikace sifrovana, udaje v requestu nikdo neprepise.
Trosku nerozumim tomu, jak se "se někdo dohrabe k tomu, aby si session přepsal". Prepsani id session == ztrata navazaneho spojeni. Jedine, co teoreticky v pripade nesifrovane komunikace hrozi, ze nekdo odchyti id vytvorene session a na zaklade toho se pripoji k serveru, pripadne pokud pujde sitova komunikace skrz jeho pocitac, muze napr. pozmenit udaje v zasilanem requestu.
Napsal: čtv 24. lis 2005, 10:24
od Teuzz
viki_ píše:
Pokud je komunikace sifrovana, udaje v requestu nikdo neprepise.
Trosku nerozumim tomu, jak se "se někdo dohrabe k tomu, aby si session přepsal". Prepsani id session == ztrata navazaneho spojeni. Jedine, co teoreticky v pripade nesifrovane komunikace hrozi, ze nekdo odchyti id vytvorene session a na zaklade toho se pripoji k serveru, pripadne pokud pujde sitova komunikace skrz jeho pocitac, muze napr. pozmenit udaje v zasilanem requestu.
Prepsani id session != ztrata spojeni. To mam odzkoušeno na WAMPu (můj localhost)
ale jinak - jak tedy donutím server aby používal anonymní certifikaci?
Napsal: čtv 24. lis 2005, 10:27
od viki_
Teuzz píše:ale jinak - jak tedy donutím server aby používal anonymní certifikaci?
To uz zalezi na tom, jaky pouzivas webovy server
.
(umim to jen v Tomcatu)
Napsal: čtv 24. lis 2005, 10:34
od viki_
Teuzz píše:
Prepsani id session != ztrata spojeni. To mam odzkoušeno na WAMPu (můj localhost)
To uz samozrejme zalezi na tom, cemu rikas spojeni (v pripade bezstavove komunikace jako je http) a jak mas resen login do aplikace. Pokud klient zmeni sve id session na zaklade ceho si tedy server asociuje obsah session prave s jeho requestem ? Proste pro klienta dojde ke ztrate vseho, co bylo na serveru predtim do jeho session ulozeno.
Napsal: čtv 24. lis 2005, 18:37
od Teuzz
viki_ píše:Teuzz píše:
Prepsani id session != ztrata spojeni. To mam odzkoušeno na WAMPu (můj localhost)
To uz samozrejme zalezi na tom, cemu rikas spojeni (v pripade bezstavove komunikace jako je http) a jak mas resen login do aplikace. Pokud klient zmeni sve id session na zaklade ceho si tedy server asociuje obsah session prave s jeho requestem ? Proste pro klienta dojde ke ztrate vseho, co bylo na serveru predtim do jeho session ulozeno.
Já vůl, přehlíd jsem to ID a ještě jsem to zkopíroval..., jasně, OK
myslel jsem obsah session
Login mám řešen tako:
Zadáš heslo do políčka, přejde se POSTem na skript, který vybere heslo (md5) a login z DB (pokud jsou shodné), login a údaj o právech uloží do Session. Tam a do DB uloží také UID. Do DB pak jde spec. upravený otisk IP, který také srovnávám... (když na to tak koukám, není to až tak zlý...
)
Napsal: pát 25. lis 2005, 08:30
od viki_
Teuzz píše:
Login mám řešen tako:
Zadáš heslo do políčka, přejde se POSTem na skript, který vybere heslo (md5) a login z DB (pokud jsou shodné), login a údaj o právech uloží do Session. Tam a do DB uloží také UID. Do DB pak jde spec. upravený otisk IP, který také srovnávám... (když na to tak koukám, není to až tak zlý...
)
Me se to zda OK