मैं वेबसाइट विकसित कर रहा हूं जहां उपयोगकर्ता AJAX, php का उपयोग करके प्रमाण पत्र सबमिट करता है और POST विधि का उपयोग करके और मैं लॉगिन प्रमाण-पत्रों को सादा पाठ में नहीं रखना चाहता हूं लेकिन मैं SSL का उपयोग नहीं करना चाहता हूं, क्या मैं SSL प्रमाणपत्र का उपयोग किये बिना पासवर्ड प्रमाण-पत्र सुरक्षित कर सकता हूं ??SSL का उपयोग किये बिना POST विधि को सुरक्षित करने के लिए कैसे?
क्या कोई मुझे किसी भी विधि का काम करने का उदाहरण दे सकता है?
आप बिना किसी चैनल सत्यापन (जो एसएसएल प्रदान करता है) के बिना प्रमाण-पत्र सुरक्षित नहीं कर सकते हैं; एक man in the middle attack हमेशा संभव होगा।
बस रखें, क्लाइंट के लिए पूरी तरह से यह सुनिश्चित करने का कोई तरीका नहीं है कि वे कहीं भी डाले गए नकली सर्वर के बजाय सर्वर से बात कर रहे हैं।
शायद यह आप में मदद करता है: Two-way password encryption without ssl
उच्चतम स्कोरिंग उत्तर मूल रूप से कहता है: इसे सुरक्षित नहीं किया जा सकता है। – Jacco
संक्षेप में .. कोई।
आप कोशिश कर सकते हैं लेकिन मुझे नहीं लगता कि एक ऐसा तरीका है जिसे मैं जावास्क्रिप्ट या किसी अन्य ब्राउज़र में अपने पोस्ट किए गए डेटा को सुरक्षित करने के लिए कल्पना कर सकता हूं।
समस्या एन्क्रिप्शन पक्ष में है, जावास्क्रिप्ट में एक अच्छा मजबूत सार्वजनिक-निजी क्रिप्टो करना मेरे लिए व्यवहार्य नहीं है।
मैं भाग के बारे में उत्सुक हूं। ।
। । अभी भी कुछ संभावित विधि पर विचार कर रहे हैं। । कुछ पॉप अप होने पर पोस्ट अपडेट करेगा।
यहां तक कि सबसे अच्छा संभव जावास्क्रिप्ट कार्यान्वयन भी कमजोर है: एन्क्रिप्शन करने वाली स्क्रिप्ट को छेड़छाड़ की जा सकती है, क्योंकि यह एक गैर-सुरक्षित रेखा पर भेजता है। यही कारण है कि जावास्क्रिप्ट में लागू होने पर एसआरपी-प्रोटोकॉल उदाहरण के लिए सुरक्षित नहीं किया जा सकता है। – Jacco
प्रमाणपत्र के बिना एसएसएल का उपयोग करना संभव होना चाहिए। आपको एक आदमी-में-मध्य-हमले के लिए कमजोर बनाता है लेकिन स्थानांतरित डेटा को एन्क्रिप्ट करता है।
यह यातायात को दूर करेगा क्योंकि ब्राउज़र हमेशा प्रमाणपत्र चेतावनी दिखाएगा। और अधिकतर उपयोगकर्ता उपयोगकर्ता से यह पुष्टि करने के लिए कहेंगे कि वह वास्तव में साइट पर जारी रखना चाहता है। –
सच, सच ... लेकिन सवाल यह है कि कुछ सुरक्षित एन्क्रिप्शन का बिंदु क्या है: -/... str_rot13 के बारे में कैसे? – Raffael
2 प्रकार की सुरक्षा है: वह प्रकार जो आपकी छोटी बहन को अपना रहस्य सीखने और मेयर सरकारों को बाहर रखने से रोकता है। दूसरे शब्दों में: या तो आपके पास एक मजबूत और सुरक्षित प्रणाली है, या एक एक्सपोजर होने का इंतजार है। दूसरे शब्दों में: ऐसी कोई चीज़ नहीं है 'कुछ हद तक सुरक्षित एन्क्रिप्शन'। ROT13? यह सुरक्षित होने की भी कोशिश नहीं कर रहा है, यह एक आसान obfuscation दिनचर्या है। – Jacco
आप ओपनआईडी जैसे प्रदाता का उपयोग कर सकते हैं जो आपके लिए प्रमाणीकरण को संभालेगा। प्रदाता प्रमाण पत्र सत्यापित करने के लिए एसएसएल का उपयोग करता है और फिर आप इसे अपने एपीआई का उपयोग करके मान्य कर सकते हैं, इसलिए उपयोगकर्ता वास्तव में आपके पृष्ठ पर प्रमाण-पत्र नहीं भेजता है।
जब तक आप केवल HTTPS का उपयोग नहीं कर रहे हैं तो आप केवल सत्र अपहरण के लिए पासवर्ड स्नीफिंग का व्यापार करते हैं - आपको सुरक्षा के मामले में कुछ भी नहीं मिलता है। – Zed
यह पूरी तरह से सच नहीं है। सत्र आईडी को आईपी पते पर मैप किया जा सकता है जो इसे हाइजैक करने में बहुत मुश्किल बना देगा।यह हमलों को दोहराए जाने योग्य बनाता है (जब तक हमलावर सत्र को हमेशा के लिए खुला रखने के इच्छुक नहीं होता)। –
अक्सर हाइजएकर एक ही नेटवर्क पर होता है (उसी विद्यालय, एक ही होटल, एक ही कैफे) क्योंकि स्थानीय यातायात को सूँघना सबसे आसान है। और जब आप एक ही नेटवर्क पर होते हैं तो पीड़ित के आईपी का उपयोग करना भी मुश्किल होता है। साथ ही, जब नेटवर्क एनएटी के पीछे होता है और आप सभी एक आईपी साझा करते हैं (आईपीवी 4 पतों की कमी के कारण इन दिनों बहुत आम है) तो आपको अपने आईपी को भी बदलना नहीं है। यह न मानें कि आईपी पता बदलना मुश्किल है क्योंकि आमतौर पर यह नहीं होता है, खासकर यदि आपका वांछित पता एक ही सबनेट में है। – Zed
क्या मैं बिना खरीद के php में एसएसएल प्रमाणपत्र लागू कर सकता हूं ?? –
हां आप कर सकते हैं। । उदाहरण के लिए http://startssl.com/ के माध्यम से उनके पास मुफ्त मूल कर्ट हैं। –