私はサイトで見た多くの投稿から、AJAXや従来のフォームによって実行されるログインは、互いに安全です。 (再:Login/session cookies, Ajax and securityAjax login and javascript cookies, is this secure?)AJAXログイン呼び出しでJavascriptハッシュ、より多くのセキュリティ?
私の質問(複数可)/ありさ:
私はそれをサーバーに送信する前に私が(クライアント側の/ JavaScriptのハッシュ ライブラリ経由で)ユーザーのパスワードをハッシュした場合、私はeasedropping人々からのセキュリティを高めるのですか?
フォームトークン(ランダムベース、別の時間ベース)を置くと、それはCSRF攻撃をカバーしますか?
実際これは大きなセキュリティ上の問題になる可能性があります。パスワードがハッシュ化される理由は、失敗時に計画する手段です。攻撃者はデータストア(SQLインジェクション)にアクセスし、ハッシュを取得する可能性があります。ハッシュでログインしているだけの場合、攻撃者はアプリケーションにアクセスするために回復したハッシュを解読する必要はありません。
リプレイ攻撃も問題です。認証中にハッシュを盗聴すると、そのリクエストを認証して再生するだけで止まってしまいますか?
認証にメッセージダイジェスト機能を使用するプロトコルは、ワンタイムソルトとして使用されるノンスをクライアントに提供します。 MicrosoftのSMB NTLM認証が良い例ですが、a lot of problemsがありました。
USE SSLログイン専用ではありません。 OWASP A9は、セッションIDが安全でないチャネルで漏らされてはならないと述べています。あなたが本当の認証資格情報をちょうど数ミリ秒後にこぼした場合、誰もがパスワードを気にします。
ほとんどの人は、ログインにCSRF保護を実装していません。結局のところ、攻撃者は最初にパスワードを知る必要があるので、「セッションライディング」は議論の対象です。
攻撃者があなたが使用しているハッシュを知っている場合、攻撃者はそれを裂くことができます。また、塩を追加したい場合は、それをブラウザに送る必要があり、攻撃者はそれを傍受する可能性があります。時間を塩として使用することは、比較的短い時間しかないので、彼らも同様にそれを解決することができるので、機能しません。
ごくわずかですが質問3に答えました。いいえ!また、AJAXと標準形式は、と同様に安全でないこともあることを覚えておいてください。
安全な認証の実装は難しいです。あなたが学問的な演習としてそれをやっていない限り、私はあなたのフレームワークが提供するライブラリを使うことを強くお勧めします。
また、次のようなものなども考慮する必要があります。
これは素晴らしいことです! PHPのsession_start()関数に組み込まれている「2つのセッションが同時に同じセッションIDを持つことはできませんか?」 –
@JosephSzymborskiはい。あなたはこの興味深いre php http://phpsec.org/projects/guide/4.htmlを見つけることができます – Cheekysoft
パスワードを送信する必要がある場合(可能であれば、ログインセッションCookie以外のものについても)SSLを使用してください。 – Thilo