abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:33 | IT novinky

    Společnost Espressif (ESP8266, ESP32, …) získala většinový podíl ve společnosti M5Stack, čímž posiluje ekosystém AIoT.

    Ladislav Hagara | Komentářů: 0
    včera 23:44 | Nová verze

    Byla vydána nová stabilní verze 3.5 svobodného multiplatformního softwaru pro editování a nahrávání zvukových souborů Audacity (Wikipedie). Přehled novinek také na YouTube. Nově lze využívat cloud (audio.com). Ke stažení je oficiální AppImage. Zatím starší verze Audacity lze instalovat také z Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    včera 16:44 | Zajímavý článek

    50 let operačního systému CP/M, článek na webu Computer History Museum věnovaný operačnímu systému CP/M. Gary Kildall z Digital Research jej vytvořil v roce 1974.

    Ladislav Hagara | Komentářů: 0
    včera 16:22 | Pozvánky

    Byl zveřejněn program a spuštěna registrace na letošní konferenci Prague PostgreSQL Developer Day, která se koná 4. a 5. června. Na programu jsou 4 workshopy a 8 přednášek na různá témata o PostgreSQL, od konfigurace a zálohování po využití pro AI a vector search. Stejně jako v předchozích letech se konference koná v prostorách FIT ČVUT v Praze.

    TomasVondra | Komentářů: 0
    včera 03:00 | IT novinky

    Po 48 letech Zilog končí s výrobou 8bitového mikroprocesoru Zilog Z80 (Z84C00 Z80). Mikroprocesor byl uveden na trh v červenci 1976. Poslední objednávky jsou přijímány do 14. června [pdf].

    Ladislav Hagara | Komentářů: 6
    včera 02:00 | IT novinky

    Ještě letos vyjde Kingdom Come: Deliverance II (YouTube), pokračování počítačové hry Kingdom Come: Deliverance (Wikipedie, ProtonDB Gold).

    Ladislav Hagara | Komentářů: 3
    21.4. 19:11 | Komunita

    Thunderbird 128, příští major verze naplánovaná na červenec, přijde s nativní podporou Exchange napsanou v Rustu.

    Ladislav Hagara | Komentářů: 21
    21.4. 04:44 | Komunita

    Byly vyhlášeny výsledky letošní volby vedoucího projektu Debian (DPL, Wikipedie). Novým vedoucím je Andreas Tille.

    Ladislav Hagara | Komentářů: 7
    21.4. 00:11 | Nová verze

    Po osmi měsících vývoje byla vydána nová verze 0.12.0 programovacího jazyka Zig (GitHub, Wikipedie). Přispělo 268 vývojářů. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 2
    20.4. 23:55 | Pozvánky

    Poslední měsíc byl plný zajímavých akcí, o kterých Vám bastlíři z projektu MacGyver mohou povědět, protože se na ně sami vydali. Kde všude byli, ptáte se? Objevili se na Installfestu, Arduino Day, Hackaday Europe a tajném srazu bastlířů z Twitteru. A z každé akce pro vás mají zajímavé poznatky.

    … více »
    bkralik | Komentářů: 1
    KDE Plasma 6
     (71%)
     (10%)
     (2%)
     (17%)
    Celkem 670 hlasů
     Komentářů: 4, poslední 6.4. 15:51
    Rozcestník

    Dotaz: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?

    19.8.2014 05:34 chin
    Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    Přečteno: 804×
    Dobré ráno. Mám webovou aplikaci a klienty napsané v javě, kteří s ní komunikují. Chci, aby se autentizovalo pomocí klíčů a ne hesel. Jak to udělat co nejbezpečněji? Napadá mě spousta alternativ jako:
    1. Vygenerovat klíč a prohlásit ho za heslo - nejjednodušší, nicméně nejbezpečnější???
    2. Vygenerovat klíč, server odešle náhodně vygenerovanou zprávu šifrovanou tímto klíčem, klient jí dešifruje a zpět zašle třeba její hash zašifrovaný tím samým klíčem. Server hash dešifruje, vytvoří hash z jím zaslané zprávy a porovná je. Složitější, ale neposílá se samotný klíč - bezpečnější???
    3. To samé jako druhý bod, jen použít asymetrickou kryptografii, kdy server má veřejný klíč a klient privátní (plus klidně i naopak, pokud chci ověřit obě strany a nedůvěřuji CA u https).
    4. ...
    Klienti si s webovou aplikací vyměňují docela citlivé údaje a bude to celé komunikovat přes internet, takže by to mělo být podle toho bezpečné ...

    Budu vděčný za jakýkoliv rozumný nápad, děkuji.

    Odpovědi

    19.8.2014 11:33 Sten
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    TLS (HTTPS) podporuje autentizaci pomocí klientského certifikátu, návod např. zde
    19.8.2014 15:23 Filip Jirsák
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    Jak píše Sten, použijte standardní HTTPS s přihlášením klienta privátním klíčem. Na obou stranách nastavte rozumnou množinu povolených protokolů, inspirovat se můžete např. u Qualsys SSL Labs. Na klientovi ověřujte přímo konkrétní serverový certifikát (nebo jednu konkrétní autoritu, pokud jí důvěřujete a chcete to mít pohodlnější), na serveru ověřujte konkrétní certifikáty (nebo opět zvolte jednu nebo pár autorit, kterým budete důvěřovat).
    20.8.2014 22:08 chin
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    To mi přijde trochu moc komplikované - na straně klienta pracovat s keystore, na straně serveru přidávat do databáze informace o certifikátu, aby se jím šlo autentizovat i autorizovat a to celé cca jednou ročně (nebo mít vlastní CA) absolvovat pro větší množství klientů.
    20.8.2014 22:11 Sten
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    Přesně to odpovídá bodu 3. Pokud je klientů víc, jde ty certifikáty jednoduše ověřovat přes vlastní CA.
    21.8.2014 10:35 Filip Jirsák
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    Musíte si vybrat, buď jednoduchost, nebo bezpečnost. Stejně ta data předpokládám posíláte přes HTTPS, takže musíte řešit keystore na serveru a trustore na klientovi. Přidat k tomu autentizaci klienta certifikátem je pak relativně snadné.
    21.8.2014 10:44 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?

    Nevím jestli je to rozumné, ale řešil jsem to páry klíčů, každý klient má svůj pár veřejný dá na server a veřejný serveru dostane.

    Klient pošle požadavek, dostane „náhodnou zprávu“ šifrovanou svým veřejným klíčem, dešifruje ji a pošle zpět zašifrovanou veřejným server klíčem zpět a obdrží stejně šifrovaný ticket, který šifrovaný posílá s požadavky dokud server nevynutí změnu ticketu.

    Všechna komunikace byla navíc podepisovaná „druhým klíčem“ (a doplněná o náhodná data) a umožňovala navíc zadání hesla, kde se navíc vyměňovala 2nd sůl, takže heslo běželo po síti zašifrované a navíc jen jako hash.

    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    21.8.2014 13:58 Sten
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    U té autorizace jste v podstatě implementoval to, co dělá TLS.
    21.8.2014 15:15 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    No vida :-)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    2.5.2018 23:47 Lieselotte
    Rozbalit Rozbalit vše Re: Autentizace klíčem pro aplikaci klient - server (http) - jak na to?
    Problém imho je, že ten klient je potom ochoten rozšifrovat a zpětně zašifrovat veřejným klíčem serveru prakticky cokoliv, což není problém, pokud se privátní klíč používá _POUZE_ na tuto autorizaci. Pokud se ale používá i na něco jiného, alternativně jde klienta donutit, aby použil k dešifrování libovolný odpovídající privátní klíč, pak je to skutečně velký průšvih.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.