ASP.NET / hasło przekazywane po http

0

Witam
Mam prosty sklep internetowy (projekt na zaliczenie) w ASP .NET do przerobienia - gdzie ktoś zrobił formularz logowania na głównej stronie sklepu w

. Problem jest w tym, że hasło jest przekazywane po http i istnieje możliwość, że ktoś sobie przechwyci takie hasło. Macie pomysł jak prosto (na zalicznie) zabezpieczyć przesyłanie danych z tego logowania?
Najlepszym rozwiązaniem byłoby zrobienie osobnej strony logowania, która była by na https - ale może macie jakiś inny pomysł by nie przerabiać tego co już jest ?</p>

Myślałem, żeby całą stronę puścić po https - ale chyba nie jest to zbyt dobre rozwiązanie :-)

0

W Javascript zrobić hashowanie hasła (z solą).

0

Session Variables, Application Variables albo Cookies. Wszystkie trzy metody mają swoje plusy i minusy. Po więcej szczegółów odsyłam tutaj:
http://www.mikesdotnetting.com/Article/192/Transferring-Data-Between-ASP.NET-Web-Pages

Można też użyć hashowania tak jak kolega wyżej podpowiada i przekazywać QueryString zahashowany.

0

wygoogluj Digest Authentication

0

A myślicie, że puszczenie całej strony po https będzie totalną głupotą? W ogóle istnieje jakieś strony, które są całe w https - chyba tylko bankowość internetowa ?

0

Zwiększy to delikatnie obciążenie serwera, ale nie będzie głupotą. Przykładem może być Youtube. Działa po obydwu protokołach (jedynie sam materiał wideo jest przesyłany po http).

0

Haszowanie z solą po stronie klienta wiąże się z przesłaniem obu "składników" przez sieć podczas rejestracji - no dobra małe zagrożenie, ale...
Podczas każdorazowego logowania sól musiałaby być w źródle strony, bo żeby się autoryzować musisz haszować podane hasło z wcześniej ustaloną solą.
Przed zalogowaniem jest jeszcze 1 problem - musisz mieć listę wszystkich salt'ów z bazy bo nie wiadomo jaki user zaraz się zaloguje - nie jest jeszcze uwierzytelniony (równie dobrze może robić request o salt po podaniu loginu).

0

Ja bym stawiał na całość via https...

To przecież nie tylko zabezpieczenia hasła.
To zabezpieczenie sesji i ciastek przed podsłuchem i podszyciem.
To też "pewność" dla klienta że sklep nie jest podstawiony.

Problemem może być tylko cache przeglądarki (ale i na to sposób: w google Cache-Control:)

0

Puściłem wszystko po HTTPS - łącznie z cookies. Najszybsze rozwiązanie i chyba najbezpieczniejsze.
Ktoś się orientuje i posiada jakieś dobre źródło, które mówi o ile więcej serwer będzie obciążony w przypadku korzystania z HTTPS ?

1 użytkowników online, w tym zalogowanych: 0, gości: 1