OT: Jak provozovat http a heslo hnat pres https?

Jirka Kosek jirka na kosek.cz
Úterý Březen 20 21:10:18 CET 2001


Pavel Lisy wrote:

> mam takovy teoreticky dotaz. Potrebuji pristupovat na web server do oblasti
> chranene jmenem a heslem. Aby bylo kryptovane, posilam ho pres https, ale tim
> nesmirne utrpi vykon dalsi casti, protoze pri https browser nepouziva cache.
>
> Je vubec mozne overit na www serveru uzivatelovo jmeno a heslo pres https a
> potom pokracovat na http?

Udělat to můžete, stačí uživateli přidělit nějaký jednoznačný a těžko
uhodnutelný identifikátor a na webovém servru se pod tímto
identifikátorem pamatovat, zda se jemu odpovídající uživatel již
přihlásil. Identifikátor můžete mezi chráněnou a nechráněnou zónu webu
přenášet např. v parametrech v URL.

> Jak se takoveto veci resi?

Pokud vám jde pouze o zamezení přenosu odkrytého hesla, můžete použít
metodu challenge-response. Server pošle klientovi náhodné číslo. Klient
si vyžádá od uživatele jméno a heslo, před odesláním na server se pomocí
JavaScriptu spočítá MD5(heslo+náhodné číslo) a serveru se pošle tento
hash a jméno. Server si v databázi najde podle jména heslo a přidá k
němu zaslané náhodné číslo, spočítá z toho MD5. Pokud získá stejný
výsledek jako od klienta, heslo bylo zadáno správně. Heslo nikde
neputuje odkryté, je však potřeba, aby klient uměl JavaScript.

-----------------------------------------------------------------
  Jirka Kosek  	                     
  e-mail: jirka na kosek.cz
  http://www.kosek.cz


Další informace o konferenci Linux