[superhaga]

Jag tror att detta är rätt kategori för denna fråga.

Hur pass "osäkert" är det att göra inloggningssystem och dyl. utan att använda SSL (https)? Jag har inte forskat så mycket, men det verkar inte vara allt för många webhotell som stödjer SSL.

[fors]

Det är olika, beroende på situation. Men när man använder HTTP så skickas ju lösenorden i klartext, vilket kan fångas upp av en elak människa. Om du till exempelvis sitter hemma och loggar in på en site så är det mindre troligt att någon avlyssnar trafiken i förhållande till om du loggar in på en skola. Om ingen avlyssnar trafiken så är det ju "säkert". Problemet är att man aldrig riktigt vet om någon avlyssnar trafiken. Så om du vill ge dina användare bästa möjliga säkerhet så skall du använda dig av SSL!

[SimonP]

Du kan få det rätt säkert även utan https, genom att använda java/javascript kan man se till att lösenordet aldrig lämnar klientens dator i klartext.

Servern genererar en "salt" dvs en slumpmässig kod varje gång nån besöker inloggningssidan. Användarens lösenord+salten körs genom en hashfunktion (som kan vara gjord i t.ex Javascript) på klientens dator, denna skickas sen till servern som verifierar den genom att köra samma salt i samma typ av hash funktion. Lösenord ska aldrig skickas/lagras i klartext, inte ens på servern. Det finns man-in-the-middle attacker mot HTTPS också.

[eg0master]

Citat:

Originally posted by SimonP@Aug 21 2007, 00:08
Det finns man-in-the-middle attacker mot HTTPS också.

Fast inte om du slår av SSL 2 och SSL 3 i din browser. TLS 1 (som är efterföljaren till SSL 3) skall stå emot man-in-the-middle attacker (givet att ingen annan kan generera ett certifikat med samma namn med en annan CA som klienten också accepterar). Rätt använt är TLS säkert.

Men för att kommentera den ursprungliga frågan:
Skall du vara säker måste du köra HTTPS med TLS för att skydda förbindelsen mot avlyssning. Å andra sidan - hur stor är risken att din sida som du tänkt lägga på ett webhotell är av sådant intresse att någon orkar göra allt arbete för att lyssna av trafik på rätt ställe för att komma åt några lösenord...

[Anders Larsson]

Jag tycker egentligen att det är konstigt att inte fler kör med SSL. Hur många har skulle ge mig sina lösenord till allsköns communitys som de loggar in på? Troligen ingen. Men att logga in och skicka det i klartext, det är inga problem.

Kostnaden för ett cert är nästan ingenting, så jag ser inget hinder att börja köra med det.

[jomper]

Lastar det inte servern rätt mycket mer att kryptera trafiken?

[melin]

många kör inte med det för att webhotellen inte erbjuder det

[SimonP]

Citat:

Originally posted by Anders Larsson@Aug 21 2007, 11:24
Kostnaden för ett cert är nästan ingenting, så jag ser inget hinder att börja köra med det.

Men för äkta SSL krävs det ett IP-nr/cert, så man måste ha ett unikt IP/domännamn.
CPU belastningen på servern ökar en del också.

[iXam]

Man behöver ju inte köra mer än inloggningen via SSL. Då blir ju den extra belastningen på servern minimal.

[superhaga]

Det verkar som att det blir relativt kostsamt att ha SSL, ty det är få webhotell som erbjuder det, åtminstone av de billigare varianterna. Såg ett exempel på 995 kr / år bara för SSL. Men det där med lösenord + salt i en hashfunktion testade jag nyss och det funkar ju utmärkt! Det viktigaste lär väl vara att inte skicka lösenord och liknande i klartext, men är man väl inloggad så spelar det väl ingen större roll om man kör med https eller http...