Ditt lösenord skickas inte okrypterat över nätet eftersom det hashas på din klient innan det går iväg över nätet.
Fast för mig är det bara en falsk känsla av säkerhet. En sniffning plockar ju upp det hashade lösenordet och en angripare kan då replaya det mot inloggningssidan och på så sätt komma in.
Fast för mig är det bara en falsk känsla av säkerhet. En sniffning plockar ju upp det hashade lösenordet och en angripare kan då replaya det mot inloggningssidan och på så sätt komma in.
Dessutom finns det drösvis med program som kan användas för att knäcka en osaltad MD5-hash, så det är egentligen ingen säkerhet alls. Är man tillräckligt kompetent för att sniffa ett lösenord, är man tillräckligt kompetent för att hitta såna program.
Vissa dagar är man asfalten, andra dagar är man ångvälten.
Vissa dagar är man myggan, andra dagar är man vindrutan.
XML är som våld; löser det inte ens problem betyder det att man använder för lite.
Men i det här fallet behövs det ju ändå inte för att logga in eftersom man loggar in med hashen och inte lösenordet. Det är ju bara om man vill logga in på andra ställen där man tror att personen har samma lösenord som man behöver knäcka det.
Dessutom finns det drösvis med program som kan användas för att knäcka en osaltad MD5-hash, så det är egentligen ingen säkerhet alls. Är man tillräckligt kompetent för att sniffa ett lösenord, är man tillräckligt kompetent för att hitta såna program.
Jag hade faktiskt tänkt skriva det också. Men det finns ju en möjlighet, om än liten att den skulle hashas på sidan som tar mot den hashet och då med salt. Inte för att det är troligt dock.
Frågan kvarstår, i vilka sammanhang saknar du SSL?
Det går visserligen att lägga på SSL vid inloggning (vilket jag kan tycka att vi skall göra), men jag funderade på om det kanske var av någon annan anledning?
Frågan kvarstår, i vilka sammanhang saknar du SSL?
Det går visserligen att lägga på SSL vid inloggning (vilket jag kan tycka att vi skall göra), men jag funderade på om det kanske var av någon annan anledning?
Självklart för att försvåra för en eventuell avlyssnare som befinner sig på någon nod längs med vägen från klient till webForum att samla information kring användarens aktiviteter.
Ja, det kan man givetvis tänka sig. Men det är väl relativt ovanligt på öppna forum där allt ändå indexeras av sökmotorer?
Jo, fast sökmotorernas indexering kan ju inte ge en övervakare information om vilka trådar jag läser, något som man däremot lätt kan ta reda på om man har möjlighet att avlyssna den okrypterade HTTP-trafiken.
Kommentera