Autor Wątek: zabezpieczenie - generator kodów  (Przeczytany 2194 razy)

Offline kedan

  • Użytkownik

# Marzec 15, 2006, 03:33:25
Potrzebuję napisać generator oraz program sprawdzający poprawność klucza. Nie musi to być nic nazdzwyczajnego. Niestety nie mam zielonego pojęcia jak się do tego zabrać - nie są mi znane żadne algorytmy. Czy ktoś mógłby mi udzielić wskazówek na ten temat?

Offline Mr. Spam

  • Miłośnik przetworów mięsnych

Offline d0ubl3_j

  • Użytkownik

# Marzec 15, 2006, 04:27:22
mozesz skorzystac np z md5, albo rsa (ich opisy z latwoscia znajdziesz na wikipedi i google)

btw podaj wiecej szczegolow co, gdzie, jak i w jakim jezyku wtedy bedzie prosciej cos dobrac ;>

Offline DarkJarek

  • Użytkownik
    • DarkJarek HomePage

# Marzec 15, 2006, 07:25:27
Najprostszym sposobem na sprawdzenie klucza jest wygenerowanie nowego i porównanie z wpisanym. Taki sposób jest używany w większości programów które generują klucz na podstawie jakichś informacji np imienia i nazwiska. Lecz sposób ten ma jedną wadę - bardzo łatwo zcrackować program.

Offline kedan

  • Użytkownik

# Marzec 15, 2006, 19:50:32
Chodzi o logowanie na strone internetowa za pomocą indywidualnego kodu. Mniej więcej tak chce to zrobić: identyfikator (jako klucz) i kod, który po odszyfrowaniu musi mieć konkretną wartość. Oczywświe klucz(ID) też chce uprzednio zaszyfrować. Albo jako ID podać wektor inicjujący, a klucz pozostawić tajnym - ale pierwsze rozwiązanie wydaje mi sie bezpieczniejsze. Całość chce napisać w ActionScript. Tylko musze sie do konkretnych algorytmów dobrać :)

Offline mINA87

  • Użytkownik

# Marzec 15, 2006, 20:02:43
heh a nie lepiej zrobić standardowe rozwiązanie ? mamy hasełko jakieś w formie human-readable, traktujemy je algorytmem hashujacym np. MD5, zapisujemy sobie gdzieś to hasło. Teraz tak - jeśli user podaje hasło, to hashujemy je i porównujemy z hashem ktory mamy zapisany ;] rozwizanie powszechne, proste i dosyc dobre - pomimo ze algorytm MD5 uwaza sie za niebezpieczny ze wzgledu na kolizje, do takiego roziwazania przy haslach > 10 znakow jest to calkiem sesnowne :) gorzej z tym że chcesz Flaszke zastosowac... ona jest calkowicie wykonywana po stronie klienta co ujmuje Ci bezpieczenstwa przeciwko pierwszej lepszej osobie  :p - łatwo dobrac sie do hashy, ale i tak dla dlugich hasel ich zlamanie jest malo oplacalne :] dobrym rozwiązaniem jest zrobienie we Flashu jedynie frontend'a na stronkę a zaszycie całości w PHP'ie :]

Offline d0ubl3_j

  • Użytkownik

# Marzec 15, 2006, 20:51:02
Twoj pomysl juz dawno jest w uzyciu, mam na mysli metode z kluczem prywatnym i publicznym, najpopularniejszy do tego jest RSA, ale mozna stosowac nei wiadomo jakie szyfry, a i tak blad moze byc w calym mechanizmie i calosc bierze w leb ;>

agent_J

  • Gość
# Marzec 15, 2006, 21:29:32
heh a nie lepiej zrobić standardowe rozwiązanie ? mamy hasełko jakieś w formie human-readable, traktujemy je algorytmem hashujacym np. MD5, zapisujemy sobie gdzieś to hasło. Teraz tak - jeśli user podaje hasło, to hashujemy je i porównujemy z hashem ktory mamy zapisany ;] rozwizanie powszechne, proste i dosyc dobre - pomimo ze algorytm MD5 uwaza sie za niebezpieczny ze wzgledu na kolizje, do takiego roziwazania przy haslach > 10 znakow jest to calkiem sesnowne :) gorzej z tym że chcesz Flaszke zastosowac... ona jest calkowicie wykonywana po stronie klienta co ujmuje Ci bezpieczenstwa przeciwko pierwszej lepszej osobie  :p - łatwo dobrac sie do hashy, ale i tak dla dlugich hasel ich zlamanie jest malo oplacalne :] dobrym rozwiązaniem jest zrobienie we Flashu jedynie frontend'a na stronkę a zaszycie całości w PHP'ie :]

Chyba, że zapakujesz transfer cały przez SSL.

Offline mINA87

  • Użytkownik

# Marzec 15, 2006, 21:39:41

Chyba, że zapakujesz transfer cały przez SSL.


nie rozumiem co to zmieni :] włamywacz będzie mógł bezpiecznie ściągnąć plik SWF w celu analizy na kompie :]

Offline d0ubl3_j

  • Użytkownik

# Marzec 15, 2006, 22:43:06
plik swf jest tylko frontend'em, reszta to std php + mysql, dlatego ze flash ma za male mozliwosci jako sam lacznik: user <=> dane przez www, wiec nie ma po co rozpatrywac sensu istnienia samego flasha jako silnika strony ;p