Comments on: Webová aplikace a osobní údaje - updated http://blog.jlk.cz/it/webova-aplikace-a-osobni-udaje Další z řady infantilních blogísků s nulovou výpovědní hodnotou Mon, 06 Sep 2010 06:06:13 +0000 http://wordpress.org/?v=2.3 By: Jakub Lucký http://blog.jlk.cz/it/webova-aplikace-a-osobni-udaje#comment-1260 Jakub Lucký Sat, 22 Aug 2009 17:04:43 +0000 http://blog.jlk.cz/it/webova-aplikace-a-osobni-udaje#comment-1260 Wow, díky za připomínky... ad md5: nejsem zrovna odborník na hashe, a nevím, jestli sůl vyřeší ten problém s tunely nebo ne... Ale solit je určitě dobrý nápad.. ad email: aha, tak to se stydím, to je Wordpress default a mě to nenapadlo řešit... Wow, díky za připomínky…

ad md5: nejsem zrovna odborník na hashe, a nevím, jestli sůl vyřeší ten problém s tunely nebo ne… Ale solit je určitě dobrý nápad..

ad email: aha, tak to se stydím, to je Wordpress default a mě to nenapadlo řešit…

]]> By: Franta http://blog.jlk.cz/it/webova-aplikace-a-osobni-udaje#comment-1242 Franta Tue, 18 Aug 2009 12:21:54 +0000 http://blog.jlk.cz/it/webova-aplikace-a-osobni-udaje#comment-1242 S tou prolomeností hashovacích funkci – MD5 byla prolomena v tom smyslu, že můžeš najít k jednomu čistému textu jiný se stejným hashem. Pokud se tedy používá sůl, není použití téhle funkce až takový problém – na druhou stranu není důvod ji používat (vyšší náročnost výpočtu např. SHA-512 nás asi nevytrhne). Ad „nevyžadovat zbytečné údaje“ – proč je tady teda e-mailová adresa u komentáře „required“? No nic, stejně zadávám falešnou (web je pravý). Ad „SSL alespoň pro login“ – pokud se SSL nepoužívá celou dobu, je možné „ukrást session“ a dostat se k citlivým údajům, nebo je prostě jen odposlouchávat. No, ale pořád je to lepší než nic (když létá vzduchem heslo* v čistém tvaru). V takovém případě je ale dobré, vyžadovat SSL a nové zadání hesla i u stránek s nastavením, kde např. uživatel mění svoji e-mailovou adresu a heslo. *) BTW: heslo jde hashovat už na straně klienta a zvýšit tak zabezpečení i bez šifrování: http://frantovo.cz/blog/index.php?q=overovani-uzivatelu-na-webu S tou prolomeností hashovacích funkci – MD5 byla prolomena v tom smyslu, že můžeš najít k jednomu čistému textu jiný se stejným hashem. Pokud se tedy používá sůl, není použití téhle funkce až takový problém – na druhou stranu není důvod ji používat (vyšší náročnost výpočtu např. SHA-512 nás asi nevytrhne).

Ad „nevyžadovat zbytečné údaje“ – proč je tady teda e-mailová adresa u komentáře „required“? No nic, stejně zadávám falešnou (web je pravý).

Ad „SSL alespoň pro login“ – pokud se SSL nepoužívá celou dobu, je možné „ukrást session“ a dostat se k citlivým údajům, nebo je prostě jen odposlouchávat. No, ale pořád je to lepší než nic (když létá vzduchem heslo* v čistém tvaru). V takovém případě je ale dobré, vyžadovat SSL a nové zadání hesla i u stránek s nastavením, kde např. uživatel mění svoji e-mailovou adresu a heslo.

*) BTW: heslo jde hashovat už na straně klienta a zvýšit tak zabezpečení i bez šifrování: http://frantovo.cz/blog/index.php?q=overovani-uzivatelu-na-webu

]]>