Czy można stworzyć bezpieczny system logowania na bez SSL?

pytanie zadane 16 kwietnia 2017 w PHP przez Kacper Duda Obywatel (1,970 p.)

Witam,

od pewnego czasu zastanawiam się nad możliwością zrobienia "bezpiecznego" systemu logowania w HTTP. Czytałem o kluczach publicznych i prywatnych, za pomocą których można szyfrować dane, ale odszyfrować może tylko serwer, znacie jakieś implementacje w PHP i JS?

*bezpiecznego - tak samo lub bardzo podobnie skuteczne na HTTP i HTTPS

Drugą sprawą jest fakt, że jak ktoś przechwyci takie ciastko i zacznie je wysyłać jako swoje, to serwer nie rozpoznaje skąd te ciastko jest i jeżeli tam przechowujemy jakiś kod, który odpowiada, np. za automatyczne logowanie, to możemy korzystać z konta takiej osoby, a jeżeli serwer będzie patrzył na IP klienta, to można sobie ustawić taki sztuczny, żeby odpowiadał. Czy da się to jakoś zabezpieczyć, np. co chwilę JS wysyłałby nowy kod generowany automatycznie i to by był jakiś klucz czasowy.

Podsumowując to wszystko - czy da się jakoś to zabezpieczyć przed ukradnięciem lub odszyfrowaniem. Czy istnieje jakaś możliwość "autoryzacji" ciastka?

1 odpowiedź

odpowiedź 16 kwietnia 2017 przez Comandeer Guru (607,960 p.)
wybrane 17 kwietnia 2017 przez Kacper Duda

Najlepsza

HTTPS to podstawowy poziom bezpieczeństwa przy przesyle jakichkolwiek danych przez Sieć. KROPKA.

Chrome już ostrzega przed logowaniem się na stronach, które nie mają HTTPS, a w przyszłości wręcz będzie tego zabraniał. Wniosek jest prosty.

Natomiast podstawa zabezpieczania ciastek to wysyłanie ich z flagami httpOnly, secure i SameSite.

1	komentarz 16 kwietnia 2017 przez niezalogowany Chrome już ostrzega przed logowaniem się na stronach, które nie mają HTTPS, a w przyszłości wręcz będzie tego zabraniał. Wniosek jest prosty. to teraz zapewne będziemy widzieć wysyp inputów udających type password : D

1	komentarz 16 kwietnia 2017 przez Comandeer Guru (607,960 p.) wysyp inputów udających type password https://jsfiddle.net/Comandeer/m2qwrau7/ ;)

komentarz 16 kwietnia 2017 przez Kacper Duda Obywatel (1,970 p.)

HTTPS to podstawowy poziom bezpieczeństwa

Jakie są bardziej zaawansowane?

komentarz 16 kwietnia 2017 przez Comandeer Guru (607,960 p.)

Raczej chodziło mi o to, że bez HTTPS nie można wgl mówić o bezpieczeństwie, to taki fundament. Bardzo dużo mechanizmów się na tym opiera.

A do tego dochodzą takie rozwiązania jak Referrer Policy czy Content Security Policy.