Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Авторизация

To: Anton Yuzhaninov <nginx-ru@xxxxxxxxx>
Subject: Re[2]: Авторизация
From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
Date: Tue, 21 Jan 2014 21:49:45 +0400
Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; s=main; i= postmaster@xxxxxxxxxxxxx; bh=vFUlr0Ot/8M/c1Wuvr2FmB4cjos=; b=cYu 78S1ASnH3qoSxoNvbIeU1ahpT29G6ClQFrHl9rGBy08zq92Rls71uSs5gvIC6x+S l/VywZLOXr/dE3bhskJLXZlvPfwE0c6roVkfiopqB7IyPEjWLAWMX68DFvKjkrZK Z3FTC08OGv8o7kZoqPHN/iHaKAkawkBaRz8vfpps=
Domainkey-signature: a=rsa-sha1; c=nofws; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; q=dns; s= main; b=PSZJNG0llyKqjEcgCpfPEhFifIG7yydH19cVsr3c7oYthTJjR1RIqXjf k1n4XUjZ5Higo2DoPaJL+U9Ou4445+7xUV38FhD/jgkOunF4JIEFBTE2+WR6zUaA gpox/UwdbH8bXSP+ThIZ7Gja9G1AGhcoJ03UiNSLmuT9wVySMr4=
In-reply-to: <52DD8D17.5060706@citrin.ru>
References: <88eec546842d3bee9a82e83857dccd78.NginxMailingListRussian@forum.nginx.org> <1149969710.20140121004026@softsearch.ru> <52DD8D17.5060706@citrin.ru>

Здравствуйте, Anton.

>> Всё  просто. Суёшь в авторизационную куку логин пользователя и хэш.
>> А на стороне сервера считаешь хэш от логина, пароля, подсети и salt
>> и смотришь, равен ли он тому, что пришёл в куках.

> Я не специалист по криптографии, но насколько понимаю просто хэша тут
> недостаточно, нужен HMAC.
> В инете на эту тему за 5 минут нашел только такую статью:
> http://rdist.root.org/2009/10/29/stop-using-unsafe-keyed-hashes-use-hmac/

> Но встречал и более наглядные объяснения, почему нельзя в куке для 
> авторизации хранить просто хэш и нужен именно HMAC.

Огромное  спасибо.  Я тоже не специалист в криптоанализе и не знал про
такие  атаки  на  хэши.  И один раз нас так ломали, а я всё думал, как
хацкеры  SHA256  ломают  так  быстро.  Буквально  минуты  проходили...
Удалось их победить только применив редко используемую хэш-функцию. Но
похоже  это  спасает  только  от  глупых  хацкеров,  ломающих  готовой
утилитой и не понимающих её работы.

-- 
С уважением,
 Михаил                          mailto:postmaster@xxxxxxxxxxxxx

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

References:
- Авторизация
  - From: oklas
- Re: Авторизация
  - From: Михаил Монашёв
- Re: Авторизация
  - From: Anton Yuzhaninov

Prev by Date: Re: Выделение первой части server name при помощи regex
Next by Date: Re: NGINX SSL WebSocket проброс в Tomcat
Previous by thread: Re: Авторизация
Next by thread: Re[2]: Авторизация
Index(es):
- Date
- Thread