Защита данных

Тема в разделе "Как сделать...", создана пользователем SocMaster, 21 июл 2013.

  1. SocMaster

    SocMaster aka Hakerok

    Регистр.:
    26 июл 2011
    Сообщения:
    202
    Симпатии:
    47
    Есть прога, передает данные с формы входа на сервер для проверки корректности.
    Так вот данные передаются в открытом виде, подозреваю что это плохо
    Не подскажите как лучше передать данные а потом на сервере из обработать?
     
  2. Alltride

    Alltride Писатель

    Регистр.:
    26 сен 2012
    Сообщения:
    6
    Симпатии:
    0
    примитивнейше - base64
    передавать в https

    если не хочешь совсем уж криптовать - стенографь :)
    создавать .jpeg и сувать в exif данные с формы входа, на сервере распаршивать и обрабатывать
    необходимо помнить что входящие данные нужно фильтровать
     
  3. SocMaster

    SocMaster aka Hakerok

    Регистр.:
    26 июл 2011
    Сообщения:
    202
    Симпатии:
    47
    Ясно, а как на счет различный подписей?
    Видел тот же вк использует подпись, можно подобное реализовать у себя?
    Если есть примерчик плс)

    Например если взять дату текущею в мд5 + ключ приложения и снова в мд5
    Потом на сервере просто брать так же мд5 + ключ приложения и снова в мд5 и проверять с ключом который передан
    Это уже защита?)

    Нет возможности юзать https

    Да и какой https поможет когда кто то будет подделывать мой запрос?) Или просто отловит запросы программы
     
  4. allseo

    allseo Создатель

    Регистр.:
    26 июн 2013
    Сообщения:
    38
    Симпатии:
    10
    https сейчас вполне достаточно. Он, собственно, для того и предназначен, чтобы шифровать трафик с минимальным мозготрахам.
    >стенографь
    Поправочка - не стенография, а стеганография. Стенография - это скоропись. Да и в EXIF всё-таки ненадёжно - их легко прочитать, да и картинка непонятного предназначения взломщика непременно заинтересует. Вот шифрование в виде незаметного глазу шума на изображении - это уже вполне. Есть и куча готовых решений для этой цели.
     
  5. priest

    priest Писатель

    Регистр.:
    19 фев 2012
    Сообщения:
    9
    Симпатии:
    0
    base64+gzinflate\deflate
    то бишь использовать кодирование + сжатие...
     
  6. Надир

    Надир Писатель

    Регистр.:
    23 июл 2013
    Сообщения:
    5
    Симпатии:
    0
    А SSL вообще чем нибудь помогает?
     
  7. priest

    priest Писатель

    Регистр.:
    19 фев 2012
    Сообщения:
    9
    Симпатии:
    0
    а многие перешли (переходят) на https ибо там есть подлинный сертификат(SSL), которого нет у http, злоумышленник его не получит
     
  8. SocMaster

    SocMaster aka Hakerok

    Регистр.:
    26 июл 2011
    Сообщения:
    202
    Симпатии:
    47
    Причем тут SSL?
    Я отправляю с компа данные на сервер, в процессе передачи боюсь перехвата данных, все.
     
  9. allseo

    allseo Создатель

    Регистр.:
    26 июн 2013
    Сообщения:
    38
    Симпатии:
    10
    Лучшая защита от перехвата - SSL. Чистый HTTP легко отсниффать. Не хочешь предотвращать перехват - хотя бы шифруй данные для предотвращения/усложнения их прочтения после перехвата, собственным или малоизвестным методом, ну, или стеганография, выше уже говорили.
     
  10. cruide

    cruide Писатель

    Регистр.:
    25 июл 2012
    Сообщения:
    8
    Симпатии:
    22
    1. Соглашусь с предложениями в сторону HTTPS. И расшифровать проблематично. Но дело заключается в сертификате... его желательно не просто создать, но и подписать.
    2. С некоторых пор, некоторые браузеры передают данные с использованием "Accept-Encoding: gzip,deflate"...
    Но это не всегда. Нужно курить доки. И это вскрываемо.

    А вот шифровать данные на стороне клиента (используя javascript) "не есть хорошо"...
    За исключением флеша и Java.
    Так можно посмотреть алгоритм и сделать дешифратор.
     
    SocMaster нравится это.