Com-Sci.Net

Posted: **Wed Apr 30, 2008 2:51 pm**

ปกติเพื่อน ๆ login เข้าระบบลงทะเบียน/ดูเกรด ผ่าน link อารายเอ่ย ใช่

http://203.131.208.152/registrar/login.asp

หรือป่าว ถ้าใช่ ขอแนะนำให้ใช้

https://203.131.208.152/registrar/login.asp

แทนจะปลอดภัยมากกว่านะครับ .....

Posted: **Wed Apr 30, 2008 8:13 pm**

ช่วยขยายความหน่อยได้ป่าวสงสัยจริงๆ ในเมื่อเราส่ง request แบบ ssl (https) ไปแล้ว
ทั้ง url และ paramiter ก็ถูก encript ตอนส่งและถูก decript เรียบร้อยแล้ว สุดท้ายมันก็โดน redirect กลับมาที่ protocal http ตามปกติไม่ใช่หรอ เหมือนตอนที่ล็อกอินผ่าน http ธรรมดา แล้วมันจะปลอดภัยต่างจากการล็อกอินด้วย http ธรรมดา โดยใช้ form post ยังไงอ่า ลองดูดิ

Posted: **Wed Apr 30, 2008 9:57 pm**

หลักการของ SSL ก้อคือ
1. ทางฝั่ง server ทำการส่ง public key ( เพื่อให้ client ใช้เข้ารหัสตัวรหัสลับที่จะใช้คุยกานอีกที )และ certificate ( เพื่อยืนยันตัวตน ) มายัง client เพื่อทำการ validate ตัวตน ซึ่งในกรณีของเวปสำนักทะเบียน เขาืำทำการสร้าง certificate เองไม่ได้ซื้อมาจึงจะเห็น
browser มานฟ้อง error ว่าเชื่อถือไม่ได้ ( กล่าวคือทางฝั่ง client จะมี certificate ของ
พวกขาย certificate ชั้นนำเช่น VeriSign, Comodo เนี่ยฝังอยู่แล้ว เพื่อใช้ในการ validate
certificate ที่ส่งมา )

2. ฝั่ง client ทำการซุ่มรหัสอีกชุดนึง ( เป็น symmetric key ) ซึ่งซุ่มมั่ว ๆ ตาม Algorithm ที่กำหนดไว้ ( RC4 128 bits หรือ AES 256 bits ในปัจจุบัน ) จากนั้นใช้ public key ที่ได้มาจาก server เข้ารหัสกะรหัสที่สุ่มขึ้นมาส่งให้ server

3. เมื่อ server ได้รับมันจะใช้ private key ถอดรหัสที่ได้ถูกเข้ารหัสไว้อีกทีนึงได้รหัสที่ใช้เข้ารหัสข้อมูลจิง ๆ มาใช้เวลาส่ง page ให้กันและกัน คือ เมื่อ server จะส่งหน้าให้ client ก้อเอา symmetric key ที่ได้จาก client เข้ารหัส ฝั่ง client ก้อใช้ symmetric key อันเดียวกานเนี่ยถอด และก้อทำในการกลับกันเมื่อ client จะส่งข้อมูลให้ server

ทั้ง 3 เหตุการณ์ข้างต้นเกิดขึ้นและเสร็จสิ้น ตอนที่ page ของ https://203.131.208.152/registrar/login.asp ถูกโหลดขึ้นมา

SSL ใช้ 2 เทคนิคในการเข้ารหัส
1. Asymmetric Encryption คือ Public-Private Key ในการเข้ารหัส Symmetric Key ที่ใช้เข้ารหัสจริงเวลาส่งข้อมูลให้กัน อีกทีนึง ( ปัจจุบันใช้ RSA - 1024 bits - 4096 bits ยิ่งยาวยิ่งปลอดภัยมากขึ้น แต่เสียเวลาเข้า-ถอดรหัสมากขึ้นตาม )

2. Symmetric Encryption อันนี้เปนรหัสที่ใช้สำหรับเข้ารหัสข้อมูลบน page จิง ๆ เร็วก่า RSA มากมายก่ายกองนัก ปัจจุบันที่เหน ๆ ก้อมี RC4 128 bits กะ AES-256 bits มั้งที่ใช้กัน

SSH ใช้หลักการคล้าย ๆ กัน รวมทั้ง Simp ที่ใช้เข้ารหัสข้อความ Msn ด้วย

พิมพ์มามากและทีนี้ลองอ่าน Script ดูดี ๆ นะ หนู page https://203.131.208.152/registrar/login.asp มานส่ง username และ password ไปยังหน้าที่ชื่อ validate.asp ก่อนซึ่งขณะ login.asp ส่งข้อมูลให้ validate.asp เนี่ยยังคงใช้ SSL อยู่ แล้ว validate.asp ก้อทำการ decrypt ตามหลักของ ssl แล้วเอา username และ password ไป validate กะ database ว่าใช่ user ในระบบจิง ๆ อ่ะป่าว ถ้าใช่ก้อจะเขียนลง session ว่าเปงใคร แล้ว redirect ไปยังหน้า student.asp แบบ http ธรรมดา เพราะไม่มีข้อมูลอะไรที่จำเป็นต้อง encrypt แล้วหลังจากนี้ จึงไม่ต้องใช้ ssl อีกต่อไป ขอบอกว่า ssl ช้าก่าไม่ ssl นะ ถ้าไม่จำเป็นก้อไม่ต้องใช้เน้อ

Posted: **Wed Apr 30, 2008 10:12 pm**

I_LoVe_moNKeY wrote:

พิมพ์มามากและทีนี้ลองอ่าน Script ดูดี ๆ นะ หนู page https://203.131.208.152/registrar/login.asp มานส่ง username และ password ไปยังหน้าที่ชื่อ validate.asp ก่อนซึ่งขณะ login.asp ส่งข้อมูลให้ validate.asp เนี่ยยังคงใช้ SSL อยู่ แล้ว validate.asp ก้อทำการ decrypt ตามหลักของ ssl แล้วเอา username และ password ไป validate กะ database ว่าใช่ user ในระบบจิง ๆ อ่ะป่าว ถ้าใช่ก้อจะเขียนลง session ว่าเปงใคร แล้ว redirect ไปยังหน้า student.asp แบบ http ธรรมดา เพราะไม่มีข้อมูลอะไรที่จำเป็นต้อง encrypt แล้วหลังจากนี้ จึงไม่ต้องใช้ ssl อีกต่อไป ขอบอกว่า ssl ช้าก่าไม่ ssl นะ ถ้าไม่จำเป็นก้อไม่ต้องใช้เน้อ

อ่าพิมพ์มายาวเหยียดเลย มะได้ถาม อัลกอริทึมของ public-private key ซะหน่อย เมื่อยมือแย่เลย แต่ไงก็ thank you
คือ ที่เราสงสัยคือ ssl เนี๊ย มันใช้แค่ในช่วงของการ validate user & pass ใช่หรือไม่ ถึงแม้ว่า AES จะเป็นอัลกอที่ปลอดภัยก็ตาม แต่ช่วงของการถูกใช้งานมันแค่ validate.asp เท่านั้น
ตรงนั้นแหละที่เราสงสัยว่า ระหว่าง form post กะ ssl มันจะให้ผลต่างกันอย่างไร จากหน้าล็อกอินนี้ลองยกตัวอย่าง กรณีที่เราใช้ form post แล้วไม่ปลอดภัย แต่ใช้ ssl https แล้วมันปลอดภัยให้หน่อยได้ป่าว คือว่ายังสงสัยอยู่อ่า

Posted: **Thu May 01, 2008 1:49 pm**

ถูกต้อง เพราะเฉพาะช่วงนั้นเท่านั้นที่มีการส่ง username & password ช่วงอื่นส่งแค่ข้อมูลธรรมดาไม่สำคัญ
ssl ใช้กรณีที่ส่งข้อมูลสำัคัญ ๆ ผ่าน Non-secure communication เช่น internet เท่านั้น ถ้าส่งข้อมูลที่ไม่สำคัญก้อไม่จำเป็นต้องใช้ ssl เช่น ส่งผลการศึกษามาให้ดูอะไรพวกเนี่ย ( หน้าพวกนี้ไม่ได้ใช้ user/password หรือรหัสบัตร ATM หรือข้อมูลที่เป็นความลับสุดยอด ) แต่ถ้าจะใช้ก้อไม่มีใครว่านะ ก้อแค่เปลี่ยน http เปน https ก้อส่งแบบ secure แล้ว

Posted: **Sun May 04, 2008 8:47 pm**

เหอๆ คุยกันมีสาระ มากมาย

Com-Sci.Net

รู้หรือไม่ - Link ที่ถูกต้องเวลา Login เข้าลงทะเบียน/ดูเกรด

รู้หรือไม่ - Link ที่ถูกต้องเวลา Login เข้าลงทะเบียน/ดูเกรด