รู้หรือไม่ - Link ที่ถูกต้องเวลา Login เข้าลงทะเบียน/ดูเกรด

ห้องของพี่บัณฑิต สดๆร้อนๆ ครับ

Moderators: Spadez, oosora

รู้หรือไม่ - Link ที่ถูกต้องเวลา Login เข้าลงทะเบียน/ดูเกรด

Postby I_LoVe_moNKeY » Wed Apr 30, 2008 2:51 pm

ปกติเพื่อน ๆ login เข้าระบบลงทะเบียน/ดูเกรด ผ่าน link อารายเอ่ย ใช่

http://203.131.208.152/registrar/login.asp

หรือป่าว ถ้าใช่ ขอแนะนำให้ใช้

https://203.131.208.152/registrar/login.asp

แทนจะปลอดภัยมากกว่านะครับ .....


Kung #20


<?php
if(!$gui && !$document)
echo "OK !!";
else
echo "Dead !!";
?>


Image
User avatar
I_LoVe_moNKeY
Member
 
Posts: 60
Joined: Sun Jun 26, 2005 8:24 pm
Location: In front of U :)

Postby rustu_princess » Wed Apr 30, 2008 8:13 pm

ช่วยขยายความหน่อยได้ป่าวสงสัยจริงๆ ในเมื่อเราส่ง request แบบ ssl (https) ไปแล้ว
ทั้ง url และ paramiter ก็ถูก encript ตอนส่งและถูก decript เรียบร้อยแล้ว สุดท้ายมันก็โดน redirect กลับมาที่ protocal http ตามปกติไม่ใช่หรอ เหมือนตอนที่ล็อกอินผ่าน http ธรรมดา แล้วมันจะปลอดภัยต่างจากการล็อกอินด้วย http ธรรมดา โดยใช้ form post ยังไงอ่า ลองดูดิ
User avatar
rustu_princess
Member
 
Posts: 87
Joined: Tue Jun 28, 2005 10:16 pm

Postby I_LoVe_moNKeY » Wed Apr 30, 2008 9:57 pm


หลักการของ SSL ก้อคือ
1. ทางฝั่ง server ทำการส่ง public key ( เพื่อให้ client ใช้เข้ารหัสตัวรหัสลับที่จะใช้คุยกานอีกที )และ certificate ( เพื่อยืนยันตัวตน ) มายัง client เพื่อทำการ validate ตัวตน ซึ่งในกรณีของเวปสำนักทะเบียน เขาืำทำการสร้าง certificate เองไม่ได้ซื้อมาจึงจะเห็น
browser มานฟ้อง error ว่าเชื่อถือไม่ได้ ( กล่าวคือทางฝั่ง client จะมี certificate ของ
พวกขาย certificate ชั้นนำเช่น VeriSign, Comodo เนี่ยฝังอยู่แล้ว เพื่อใช้ในการ validate
certificate ที่ส่งมา )

2. ฝั่ง client ทำการซุ่มรหัสอีกชุดนึง ( เป็น symmetric key ) ซึ่งซุ่มมั่ว ๆ ตาม Algorithm ที่กำหนดไว้ ( RC4 128 bits หรือ AES 256 bits ในปัจจุบัน ) จากนั้นใช้ public key ที่ได้มาจาก server เข้ารหัสกะรหัสที่สุ่มขึ้นมาส่งให้ server

3. เมื่อ server ได้รับมันจะใช้ private key ถอดรหัสที่ได้ถูกเข้ารหัสไว้อีกทีนึงได้รหัสที่ใช้เข้ารหัสข้อมูลจิง ๆ มาใช้เวลาส่ง page ให้กันและกัน คือ เมื่อ server จะส่งหน้าให้ client ก้อเอา symmetric key ที่ได้จาก client เข้ารหัส ฝั่ง client ก้อใช้ symmetric key อันเดียวกานเนี่ยถอด และก้อทำในการกลับกันเมื่อ client จะส่งข้อมูลให้ server


ทั้ง 3 เหตุการณ์ข้างต้นเกิดขึ้นและเสร็จสิ้น ตอนที่ page ของ https://203.131.208.152/registrar/login.asp ถูกโหลดขึ้นมา

SSL ใช้ 2 เทคนิคในการเข้ารหัส
1. Asymmetric Encryption คือ Public-Private Key ในการเข้ารหัส Symmetric Key ที่ใช้เข้ารหัสจริงเวลาส่งข้อมูลให้กัน อีกทีนึง ( ปัจจุบันใช้ RSA - 1024 bits - 4096 bits ยิ่งยาวยิ่งปลอดภัยมากขึ้น แต่เสียเวลาเข้า-ถอดรหัสมากขึ้นตาม )

2. Symmetric Encryption อันนี้เปนรหัสที่ใช้สำหรับเข้ารหัสข้อมูลบน page จิง ๆ เร็วก่า RSA มากมายก่ายกองนัก ปัจจุบันที่เหน ๆ ก้อมี RC4 128 bits กะ AES-256 bits มั้งที่ใช้กัน


SSH ใช้หลักการคล้าย ๆ กัน รวมทั้ง Simp ที่ใช้เข้ารหัสข้อความ Msn ด้วย

พิมพ์มามากและทีนี้ลองอ่าน Script ดูดี ๆ นะ หนู page https://203.131.208.152/registrar/login.asp มานส่ง username และ password ไปยังหน้าที่ชื่อ validate.asp ก่อนซึ่งขณะ login.asp ส่งข้อมูลให้ validate.asp เนี่ยยังคงใช้ SSL อยู่ แล้ว validate.asp ก้อทำการ decrypt ตามหลักของ ssl แล้วเอา username และ password ไป validate กะ database ว่าใช่ user ในระบบจิง ๆ อ่ะป่าว ถ้าใช่ก้อจะเขียนลง session ว่าเปงใคร แล้ว redirect ไปยังหน้า student.asp แบบ http ธรรมดา เพราะไม่มีข้อมูลอะไรที่จำเป็นต้อง encrypt แล้วหลังจากนี้ จึงไม่ต้องใช้ ssl อีกต่อไป ขอบอกว่า ssl ช้าก่าไม่ ssl นะ ถ้าไม่จำเป็นก้อไม่ต้องใช้เน้อ


Kung #20


<?php
if(!$gui && !$document)
echo "OK !!";
else
echo "Dead !!";
?>


Image
User avatar
I_LoVe_moNKeY
Member
 
Posts: 60
Joined: Sun Jun 26, 2005 8:24 pm
Location: In front of U :)

Postby rustu_princess » Wed Apr 30, 2008 10:12 pm

I_LoVe_moNKeY wrote:

พิมพ์มามากและทีนี้ลองอ่าน Script ดูดี ๆ นะ หนู page https://203.131.208.152/registrar/login.asp มานส่ง username และ password ไปยังหน้าที่ชื่อ validate.asp ก่อนซึ่งขณะ login.asp ส่งข้อมูลให้ validate.asp เนี่ยยังคงใช้ SSL อยู่ แล้ว validate.asp ก้อทำการ decrypt ตามหลักของ ssl แล้วเอา username และ password ไป validate กะ database ว่าใช่ user ในระบบจิง ๆ อ่ะป่าว ถ้าใช่ก้อจะเขียนลง session ว่าเปงใคร แล้ว redirect ไปยังหน้า student.asp แบบ http ธรรมดา เพราะไม่มีข้อมูลอะไรที่จำเป็นต้อง encrypt แล้วหลังจากนี้ จึงไม่ต้องใช้ ssl อีกต่อไป ขอบอกว่า ssl ช้าก่าไม่ ssl นะ ถ้าไม่จำเป็นก้อไม่ต้องใช้เน้อ


อ่าพิมพ์มายาวเหยียดเลย มะได้ถาม อัลกอริทึมของ public-private key ซะหน่อย เมื่อยมือแย่เลย แต่ไงก็ thank you
คือ ที่เราสงสัยคือ ssl เนี๊ย มันใช้แค่ในช่วงของการ validate user & pass ใช่หรือไม่ ถึงแม้ว่า AES จะเป็นอัลกอที่ปลอดภัยก็ตาม แต่ช่วงของการถูกใช้งานมันแค่ validate.asp เท่านั้น
ตรงนั้นแหละที่เราสงสัยว่า ระหว่าง form post กะ ssl มันจะให้ผลต่างกันอย่างไร จากหน้าล็อกอินนี้ลองยกตัวอย่าง กรณีที่เราใช้ form post แล้วไม่ปลอดภัย แต่ใช้ ssl https แล้วมันปลอดภัยให้หน่อยได้ป่าว คือว่ายังสงสัยอยู่อ่า
User avatar
rustu_princess
Member
 
Posts: 87
Joined: Tue Jun 28, 2005 10:16 pm

Postby I_LoVe_moNKeY » Thu May 01, 2008 1:49 pm

ถูกต้อง เพราะเฉพาะช่วงนั้นเท่านั้นที่มีการส่ง username & password ช่วงอื่นส่งแค่ข้อมูลธรรมดาไม่สำคัญ
ssl ใช้กรณีที่ส่งข้อมูลสำัคัญ ๆ ผ่าน Non-secure communication เช่น internet เท่านั้น ถ้าส่งข้อมูลที่ไม่สำคัญก้อไม่จำเป็นต้องใช้ ssl เช่น ส่งผลการศึกษามาให้ดูอะไรพวกเนี่ย ( หน้าพวกนี้ไม่ได้ใช้ user/password หรือรหัสบัตร ATM หรือข้อมูลที่เป็นความลับสุดยอด ) แต่ถ้าจะใช้ก้อไม่มีใครว่านะ ก้อแค่เปลี่ยน http เปน https ก้อส่งแบบ secure แล้ว


Kung #20


<?php
if(!$gui && !$document)
echo "OK !!";
else
echo "Dead !!";
?>


Image
User avatar
I_LoVe_moNKeY
Member
 
Posts: 60
Joined: Sun Jun 26, 2005 8:24 pm
Location: In front of U :)

Postby none » Sun May 04, 2008 8:47 pm

เหอๆ คุยกันมีสาระ มากมาย
User avatar
none
Member
 
Posts: 171
Joined: Thu Jun 09, 2005 10:34 pm


Return to Com-Sci#48 (CS รุ่น20)

Who is online

Users browsing this forum: No registered users and 1 guest