Citat:
Originally posted by yoggi2k5@Aug 22 2007, 16:38
Hemmasnickrade "system" i JavaScript och liknande stoppar inte en MITM-attack... Det är SSL som gäller om man vill bättra på säkerheten.
|
Håller inte med dig helt, visst är SSL enkelt och bra men det finns MITM attacker mot det också, både enklare (DNS/ARP spoof) och mer avancerade (DNS/ARP spoof+giltigt cert). Man kan bygga helt säkra egna loginsystem med Javascript (eller Java) om man vill, det kräver iofs en del arbete, men det går.
I ett inloggingssystem som går över vanlig HTTP hjälper java-/javascript på klienten att skydda lösenordet, ifall nån avlyssnar får dom bara "sessionsnyckeln" som är giltig under begränsad tid.
En annan aspekt är om servern skulle vara hackad och hackern vill "samla" lösenord, då hjälper inte SSL ett skit, likaså om en elaksinnad anställd med tillgång till servern skulle få för sig saker, i dessa fall skulle en klientbaserad lösning skydda lösenorden bättre. Jag skulle tro att dom flesta grövre IT-brotten bygger på att det finns en insider på företaget som blir utsatt. Det ultimata är Java+SSL tillsammans, då börjar vi snacka riktig säkerhet, men det är en annan historia... B)