Witam, mam pytanie czysto teoretyczne, otóż zastanawiam się czy hash'ować hasło na poziomie Frontendu(Angular) czy Backendu(PHP) ?
Co jest bardziej bezpieczne? I jak najczęściej się robi?
Z góry Dziękuje
0
1
Najczęściej backend raczej wolimy ukrywać jakim sposobem hasło będzie haszowane
0
Czyli podczas rejestracji przesyłam hasło do backendu i dopiero tam hashuje? Czy przesyłanie tak hasła nie zaszyfrowanego nie jest nie niebezpieczne?
1
Do tego masz SSL bez tego nie ważne czy będzie haszowane czy nie będziesz mógł zobaczyć całą zawartość.
1
Strony bez SSL to takie które nie mają backend lub go mają ale nie są przesyłane żadne ważne informacje. Szyfrowanie to nie to samo co haszowane. Szyfrowanie asymetryczne to takie które pozwoli ci na bezpieczną komunikację pomiędzy aplikacjami np przeglądarka i serwer http. Haszowane używasz po to by np ukryć hasło w bazie danych ponieważ nikt oprócz użytkownika nie powinien znać jego dokładnego hasla.
2
Gdybyś hashował hasło po stronie frontendu, równie dobrze mogłoby tego hashowania nie być - skoro do logowania wystarczyłby hash, to wystarczyłoby przechwycić właśnie go i to on stałby się naszym poszukiwanym hasłem (nie trzeba by go wcale łamać i szukać "oryginalnego" hasła, ponieważ backend wymaga tak czy siak hashu).
Poczytaj sobie o pass the hash.
2
Patryk27 napisał(a):
Gdybyś hashował hasło po stronie frontendu, równie dobrze mogłoby tego hashowania nie być - skoro do logowania wystarczyłby hash, to wystarczyłoby przechwycić właśnie go i to on stałby się naszym poszukiwanym hasłem (nie trzeba by go wcale łamać i szukać "oryginalnego"
Patryk27 wyraził clou problemu, o którym nikt wcześniej nie wspomniał, ale pozwolę sobie to wyrazić jaśniej:
Dlaczego haszujemy hasła? Dlatego, żeby ktoś, kto zdobył dostęp do serwera (co może się zdarzyć) haseł tych nie poznał, nie mógł się zalogować na konta naszych klientów albo i nawet zalogować na ich konta w innych systemach (bo wielu pewnie nadal używa tego samego hasła w różnym miejscach).
Zdobycie hasza w takim wypadku niczego napastnikowi nie da, bo do zalogowania potrzeba podać oryginalne hasło, a z hasza hasła się nie da odzyskać (no teoretycznie tak, ale teoretycznie da się też złamać każde szyfrowanie stosowane w Internecie).
Gdybyś natomiast haszował hasła po stronie frontendu, to włamywacz uzyskujący dostęp do bazy haszy, uzyskuje też możliwość zalogowania się za ich pomocą na dowolne konto, co czyni bezzasadnym sam proces haszowania.
1
krancki napisał(a):
Strony bez SSL to takie które nie mają backend lub go mają ale nie są przesyłane żadne ważne informacje
Oj tu się nie zgodzę. Powinno to zdanie prędzej brzmieć tak:
Strony bez SSL to takie które nie mają backend lub go mają ale mają wywalone na ważne informacje
0
Bardzo dziękuje za wszystkie odpowiedzi. Teraz przynajmniej wiem co z czym się je :)