poslije 2 minuta potrosenih na pokusaj da sto jasnije napravim naslov (subjekt) odustah i ostavih ovaj “krljetak”
ovdje na poslu smo poceli sa jednom raspravom oko SSL-a. a radi se o slijedece: imam form za logiranje na http://www.abc.com. nema SSL.
sama provjera da li upisani postoji ili ne se vrsi na https://www.123.com. znaci:
// login formular
interesuje me da li samim tim sto je action=“https://…” (SSL) uneseni podaci se stvarno salju kriptovani i zasticeni ili to sto “ciljni” server je pod SSL-om apsolutno nema blage veze. tj, sasvim svejedno da li je
Pošto si na HTTP stranici/konekciji, imaćeš HTTP POST, tako da nema neke koristi od https u action atributu. (Dakle, formular se mora slati sa https enabled stranice)
P.S.
Prepravio sam naslov, originalni sam prvo pročitao “koliko je siguran forum?” a ne “koliko je siguran form” …
[quote=adis]P.S.
Prepravio sam naslov, originalni sam prvo pročitao “koliko je siguran forum?” a ne “koliko je siguran form” …[/quote]
hvala. pis’o da u huji!
[quote=adis]Pošto si na HTTP stranici/konekciji, imaćeš HTTP POST, tako da nema neke koristi od https u action atributu. (Dakle, formular se mora slati sa https enabled stranice)
P.S.
Prepravio sam naslov, originalni sam prvo pročitao “koliko je siguran forum?” a ne “koliko je siguran form” …[/quote]
pric’o sam sa hadzijaom za sigurnost u kompaniji u kojoj radim. on kaze totalno suprotno. nema veze sto “request” (formular) je an non-SSL domeni/serveru, ako su uneseno salje sa POST na domenu/server koji koristi SSL - prenos unesenog je kriptovan i siguran. http://abc.com uspostavja SSL konekciju sa https://123.com jer ON IMA/KORISTI SSL
?!?!?!!?
[quote=afan]pric’o sam sa hadzijaom za sigurnost u kompaniji u kojoj radim. on kaze totalno suprotno. nema veze sto “request” (formular) je an non-SSL domeni/serveru, ako su uneseno salje sa POST na domenu/server koji koristi SSL - prenos unesenog je kriptovan i siguran. http://abc.com uspostavja SSL konekciju sa https://123.com jer ON IMA/KORISTI SSL
?!?!?!!?[/quote]
I ja mislim da je tako. Ako ti snimiš taj formular na svoj računar, otvoriš ga u firefoxu, popuniš i klikneš na submit dugme, firefox direktno kontaktira server naveden u formularu. Neće uopšte pokušavati kontaktirati tvoj računar.
[quote=vedran][quote=afan]pric’o sam sa hadzijaom za sigurnost u kompaniji u kojoj radim. on kaze totalno suprotno. nema veze sto “request” (formular) je an non-SSL domeni/serveru, ako su uneseno salje sa POST na domenu/server koji koristi SSL - prenos unesenog je kriptovan i siguran. http://abc.com uspostavja SSL konekciju sa https://123.com jer ON IMA/KORISTI SSL
?!?!?!!?[/quote]
I ja mislim da je tako. Ako ti snimiš taj formular na svoj računar, otvoriš ga u firefoxu, popuniš i klikneš na submit dugme, firefox direktno kontaktira server naveden u formularu. Neće uopšte pokušavati kontaktirati tvoj računar.[/quote]
ja ipak mislim da je adis u pravu … osim toga nije tesko pokrenuti sniffer i pogledati sta se u pozadini odvija, ako vidis podatke od formulara u cleartextu onda znas kakva je situacija
Hmm, evo gledam u wiresharku, Afane, tvoj kolega je u pravu. Browser prvo pokusa uspostaviti SSL konekciju, razmijeniti certifikate, pa tek onda šalje podatke preko kriptovanog tunela. Također, ako s druge strane ništa na SSL portu, podaci se uopšte i ne šalju…
[quote=adis]Hmm, evo gledam u wiresharku, Afane, tvoj kolega je u pravu. Browser prvo pokusa uspostaviti SSL konekciju, razmijeniti certifikate, pa tek onda šalje podatke preko kriptovanog tunela. Također, ako s druge strane ništa na SSL portu, podaci se uopšte i ne šalju…
Sorry za moj površan odgovor “na prvu” :-D[/quote]
sreca tvoja pa se nisam kladio!
salim se… nesto sam novo naucio (iako sam u sustini ovo trebao znati jos od ranije ;)) i to je dobro.
a, ostace zapisano i za cipiripi generaciju koja raste
da se nadovezem… evgenije pametnjakovic…
Ako se https://xy.tld nije posjecivala, a stavljena je u action= , onda ce browser morati da preuzme certifikat kako bi uspostavio secure konekciju, tako da bi dobio upozorenje…
(samo jedan od nacina za provjeru ) malo kasnim, al’ nije zgoreg reci koju na forumu
[quote=Bo]da se nadovezem… evgenije pametnjakovic…
Ako se https://xy.tld nije posjecivala, a stavljena je u action= , onda ce browser morati da preuzme certifikat kako bi uspostavio secure konekciju, tako da bi dobio upozorenje…
(samo jedan od nacina za provjeru ) malo kasnim, al’ nije zgoreg reci koju na forumu[/quote]
nikad ne mozes znati sta browser radi i kako je implementirana ta funkcionalnost bez obzira na razne standarde i procedure … uzmi slucaj javascript-a i raznih browser-a , tako dok ne provjeris pjehe , nekad ne mozes ni “nabost” -> ako nije bijelo jest crno
) malo kasnim, al’ nije zgoreg reci koju na forumu