Caratteri casuali e lettere dell'offuscamento

0

So che questa domanda è stata posta molte volte, ma la crittografia JavaScript funzionerebbe se aggiungessi solo 100 numeri e lettere casuali alla password? Sarebbe difficile da decodificare, perché è totalmente casuale. Sto creando un tipo di servizio WordPress e Joomla e tutti gli utenti che lo scaricano non hanno SSL.

    
posta Jojo01 26.07.2015 - 09:10
fonte

3 risposte

3

No, sembra che tu abbia un malinteso su come funzionano la crittografia e l'offuscamento. La crittografia fornisce riservatezza: un messaggio è nascosto con un meccanismo che utilizza un segreto condiviso da tutte le parti che non possiedono quel segreto.

L'offuscamento fa riferimento a una serie di tecniche utilizzate per realizzare, in generale, un'applicazione di programmazione di script che è difficile da comprendere per un lettore umano. Prendono come input l'applicazione nella sua forma originale (leggibile dall'uomo), (una chiave) e producono un'applicazione funzionalmente equivalente, più grande nella dimensione del codice e molto più difficile da capire.

Ora per rispondere alla tua domanda, no, non funzionerà, come accennato potrebbe non esserci autenticazione o crittografia, ovvero qualsiasi attaccante passivo (usando uno sniffer di pacchetti e situato nella stessa rete di uno dei tuoi potenziali visitatori (cioè vittime ) recupera semplicemente la password / il codice javascript in testo semplice.

    
risposta data 26.07.2015 - 11:28
fonte
1

Ciò che descrivi sembra offuscamento, non crittografia.

Non utilizzare algoritmi di crittografia o hashing "inventati" (si prega di leggere questo write-up OWASP ).

Se desideri utilizzare le chiavi basate su password, consulta questa libreria JavaScript per la derivazione delle chiavi .

Esistono diverse librerie JavaScript che implementano AES (controlla questo post StackOverflow ) e altri codici crittografici . La gestione delle chiavi sarebbe dura, ma puoi provarla.

    
risposta data 26.07.2015 - 09:18
fonte
0

Un altro problema non menzionato ancora: hai citato che JavaScript è pubblicato su un semplice HTTP. Ciò significa che un attacco "man in the middle" (MITM) può modificare l'itinerario di JavaScript, rimuovere la crittografia o anche fare cose più nefande. È possibile eseguire la crittografia lato client (in alcuni casi questo ha senso) ma NON PUO 'sostituire HTTPS, ma solo integrarlo.

    
risposta data 19.06.2016 - 20:16
fonte

Leggi altre domande sui tag