[elektro-etc] jelszavas oldal
vajk fekete
halaloszto at yahoo.co.uk
Wed Dec 14 08:38:14 CET 2011
logikai szinten igazad van. mondjuk a titkos kontent url-je a jelszoval kodolva van az oldalban. amig nem irja be a jelszot, nem tudja megnezeni a titkos kontentet. persze jelszovaltoztataskor az url-t is kell valtoztatni.
viszont a tamado birtokaban van a kodolt szoveg, es a kodolo algoritmus is, igy egy brute force kereses semmibol nem tart. raadasul irhat gyorsabb implementaciot a javascript helyett c-ben.
vajk
________________________________
From: Móczik Gábor <pm_levlista at progzmaster.hu>
To: elektro-etc at tesla.hu
Sent: Tuesday, 13 December 2011, 23:19
Subject: Re: [elektro-etc] jelszavas oldal
2011.12.13. 22:55 keltezéssel, potyo írta:
> Ahogy mondod, nem ér semmit, mivel tisztán kliens oldalon történik.
> Biztonsági szempontból bármit csinálsz kliens oldalon, annak nincs semmi
> haszna azok ellen, akik értenek a html-hez és a javascripthez.
Nem egészen.
Ha a példában lévőtől valami jóval komolyabb kriptográfiai függvénnyel van titkosítva a tartalom, a jelszó pedig a kulcs, akkor a megoldás szerintem elég biztonságos.
Jobb a támadási lehetőség mint a szerver oldali védelem, de elég jó, nagyságrendekkel jobb, mint ha ott lenne a tartalom titkosítatlanul.
Azért jóval kevesebb embernek adatik meg, hogy brute-force feltörjön valamit, mint amennyien a HTML-hez értenek.
A hátránya, hogy csak 1 jelszó lehetséges.
More information about the Elektro-etc
mailing list