Posted By: medved (A~z na v~eky Mikov~ce.) on 'CZprogram'
Title:     Re: Ad: sifrovani
Date:      Tue Apr 12 21:00:13 2005

> Ahoj.
> 
>   Jedna vec je zabezpecit komunikaci, tam se v pohode da pouzit HTTPS, a vec
> druha je zabezpecit data. Pokud uzivatel prijde na to, jak exploitnout 
> script, tak je to stejne pro kocku:-)

No pokud pustis nejaky kod az na pocitac uzivatele, tak neexisttuje zpusob jak 
jeho zpetne analyze zabranit. Pouze to jde ztizit.

Coz znamena, ze nejake odesilaci URL vzdy bude videt. Muze ale jit pouze o 
"router" URL, co preposle pozadavek nekam jinam. Plus jeste muzes na firewallu 
routovat pozadavky uzivatelu podle jejich obsahu... 

Anebo autentizovat uzivatele uz pred pristupem do aplikace a tu poskytnout 
jenom proverenym uzivatelum. Ale pokud mezi nimu bude hacker, tak jsi zase 
zpatky. 

>   Navic mam dojem (ale nejsem si zcela jist), ze z HTTPS se daji 
> odposlechnout kdyz ne data, tak alespon hlavicky. Neda se zjistit, co za
> data 
> se posilaly (v ruce mate jen zakodovanou formu), ale da se zjistit KAM se 
> posilaly. Z toho lze zjistit server-side, ktera ho obhospodaruje a tu pak 
> exploitnout. Je to tak?:-)

AFAIK tak muzes ziskat tak maximalne port a host ip a zbytek je sifrovany. Jak 
jinak bys zabezpecil GET requesty... 

> Jovo.

Bye

Medved

No matter where you go, everyone is connected.

Search the boards