| |
|
|
| | Здрасте! У меня 2 вопроса.
1.
а) какой алгоритм шифрования лучше выбрать? Передо мной весь MCrypt т.е. 3DES, AES, ...
б) какой способ лучше (ECB, CBC, ...)
2. Как защититься от снифака?
расклад такой: есть страница auth.php для Digest- аутентификации (снифаку не поддаётся), но эта страница ставит шифрованые куки - сериализованый массив вида
array(str login, str pass, int priveleges)
|
- если его отсниффить, аккаунт твой. Как защитить юзера? SSL/TLS сразу отпадает. | |
| |
|
|
| |
|
|
| |
для: ~AquaZ~
(22.12.2009 в 23:52)
| | | > но эта страница ставит шифрованые куки - сериализованый массив вида...
Сериализация ни разу не является шифрованием. Шифруйте кукисы по-нормальному.
> для Digest- аутентификации (снифаку не поддаётся)
Поддаётся.
> Передо мной весь MCrypt
Выбирайте любой. | |
| |
|
|
| |
|
|
| |
для: Саня
(23.12.2009 в 00:05)
| | | >> но эта страница ставит шифрованые куки - сериализованый массив вида...
>Сериализация ни разу не является шифрованием. Шифруйте кукисы по-нормальному.
Сериализованые куки я шифрую =) но отснифить их - получить аккаунт.;
>> для Digest- аутентификации (снифаку не поддаётся)
>Поддаётся.
И как? =) если отсниффить и те же данные отправить - не войдёшь в аккаунт, а получишь stale=true, т.е. nonce устарел. Если есть способы - расскажите, пожалуйста.
>> Передо мной весь MCrypt
>Выбирайте любой.
=) А точнее можно? Или главное - криптостойкость ключа?
Блин, куда все делись? Я только что создал тему и ответили два юзера, а здесь - как ф танке! Может кто поможет? | |
| |
|
|
