Hej!

Mitt webbhotell erbjuder inte krypterad överföring via https.

Någon som har någon idé om hur man kan göra inloggningen till sina applikationer säkrare? Känns inte helt tryggt att skicka lösenord i klartext varje gång en inloggning ska göras, men finns det några alternativ om inte överföring via https erbjuds?

/Christoffer

Troligen finns inga alternativ där. Ett hotell erbjuder sällan SSL för delade maskiner, det måste man nästan ha egen server för. Sen att nån försöker sno trafiken i ett hotell är nog inte så stor. Se bara till att du själv har kodat så säkert det går med sql-injection och sådant. Likaså kryptera ner lösenord i databasen och liknande.

Ett sätt är att hasha lösenordet med (t.ex.) MD5 på klienten med javascript innan det skickas till servern. Det försvårar "sniffning" av lösenord. Men det går att göra en bruteforce-attack mot hashen eftersom källkoden på sidan avslöjar vilken hash-metod som används.

/Johan

Satt och funderade på följande lösning:

Servern genererar ett slumpmässigt tal, presenterar för användaren och behåller i minnet. Servern skapar också en hash med lösenordet+detta tal.

Användaren skapar en hash av detta tal samt sitt lösenord lokalt med javascript.

Denna hash skickas i klartext med POST till servern.

Även om man vet vilken hash-metod som används så kan man väl inte klura ut lösenordet, även om man får hashen samt sifferkoden?

Vad tror ni om detta sätt? Skulle det funka tror ni?

Någon som vet om det finns några färdiga hash-funktioner i javascript att tillgå?

Mvh,
Christoffer

http://www.google.se/search?q=javascript+md5

Eftersom angriparen kan se det slumpade talet fyller det ingen större funktion (mer än att man inte direkt kan se om två olika användare har samma lösenord). Man kan lika lätt som utan talet göra en brute force attack mot hashen...

/Johan