Scambio sicuro di chiavi nel web tra le pagine

0

Nella pagina di autenticazione l'utente scrive la sua password e, se è corretta, viene reindirizzato alla pagina principale.

Nella pagina principale c'è anche un messenger, che usa la crittografia end-to-end (Diffie-Hellman e AES). Per questo, richiede la password dell'utente per generare una chiave (per Diffie-Hellman).

Non voglio chiedere nuovamente all'utente la password. Tuttavia non so come inviare la password dalla pagina di autenticazione alla pagina principale in modo sicuro.

Posso salvare la password in coockie, recuperarla in un'altra pagina come ridiretta e cancellarla?

    
posta Sonya Seyrios 22.08.2016 - 16:12
fonte

2 risposte

0

Prima di tutto, memorizzare le password lato client è un grande no-no, perché sono disponibili come testo normale, il tuo sito non è sicuro in base alla progettazione se lo fai.

Quello che dovresti fare è cercare i meccanismi per ottenere le chiavi che ti servono, ad esempio all'accesso non solo autentichi l'utente ma generi anche la chiave Diffie-Hellman per il messenger e la memorizzi in una variabile di sessione, puoi recuperarlo in seguito, se necessario.

La password dovrebbe essere utilizzata nella maggior parte dei casi per generare un hash sicuro al fine di verificare l'identità dell'utente rispetto a un database dopo l'accesso, non dovrebbe mai essere memorizzata o trasmessa in testo semplice.

Se hai fornito ulteriori dettagli sulle tecnologie, potremmo darti altri esempi relativi alla tua situazione specifica.

    
risposta data 22.08.2016 - 16:40
fonte
3

Basta usare TLS, per favore. Cercare di ottenere la propria sicurezza in questo modo è una ricetta per il disastro. Veramente. Come legge Scheiner va ogni persona può inventare un sistema di sicurezza così intelligente che lei o lui puo ' Pensa a come romperlo. Anche se tu fossi il più intelligente di tutti i crittografi mai esistito (nel qual caso non lo chiederesti davvero), è improbabile che tu riesca a farlo bene - ci vollero decenni perché centinaia di persone più intelligenti riuscissero a inventare TLS, e ancora ha i bordi grezzi.

Quindi, se vuoi avere la possibilità di renderlo sicuro, usa TLS (come mostrato in questa e nelle precedenti domande). Anche l'uso sicuro di TLS senza esporsi a una dozzina di attacchi (canale laterale, xss, ecc.) È difficile. Senza di esso, è praticamente impossibile. E se la sicurezza non è davvero il tuo obiettivo, allora basta offuscarla con ROT13, o Base64, o XORing con password hardcoded o qualche altro schema veloce e facilmente risolvibile e farla finita con te - almeno non ti cullerai con il falso senso di sicurezza.

    
risposta data 22.08.2016 - 21:44
fonte

Leggi altre domande sui tag