eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankibphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!!Re: bphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!!
  • Data: 2004-01-20 11:35:55
    Temat: Re: bphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!!
    Od: Marek Madej <m...@w...INTERIA.i-to.PL> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    B.Szlachetko dnia 2004-01-20 11:52 napisał(a) co następuje:

    > Moja mozilla 1.5 (pod linuxem i pod windows) zeznaje po podani login i
    > hasła, że
    > "Pomimo tego, że bieżące połączenie jest szyfrowane, wszystkie wprowadzone
    > dane zostaną przesłane przez połączenie nieszyfrowane, dlatego
    > prawdopodobieństwo ich odczytania przez osoby trzecie jest duże.
    >
    > Czy napewno kontynuować wysyłanie wprowadzonych danych?"
    > W wersji angielskiej komunikat jest bardzo podobny.
    > Czy ktoś z was juz sprawdził o co chodzi?
    > Czy to możliwe, aby mimo bezpiecznego połączenia na SSL sam formularz
    > logowania był przesyłany bez szyfrowania?

    Nie jestem wielkim specem od JavaScript, ale wygląda na to, że jednak
    jest bezpiecznie.

    Trochę NTG, ale wyjaśnię mój tok myślenia (może ktoś mnie poprawi?).

    Formularz logowania na "bezpiecznej" stronie wygląda tak:

    <form name="login" action="javascript:GetPasswd()" method="POST"
    class="logForm">

    Natomiast funkcja GetPasswd:

    function GetPasswd()
    {

    mainForm=document.forms[0];
    if (mainForm.user.value == "" || mainForm.pin.value == "")
    {
    alert("Nie wpisano nazwy użytkownika lub hasła!!!");
    return;
    }
    else
    {
    descrypt=cryptpass(mainForm.user.value, mainForm.pin.value);
    md5pin=calcSHA1(mainForm.pin.value+mainForm.user.val
    ue);
    mainForm.pin.value="";
    mainForm.pin5.value=md5pin;
    mainForm.action="Login";
    mainForm.submit();
    }

    Czyli:
    Po wciśnięciu przycisku "Logowanie" wywoływana jest funkcja GetPasswd
    javascriptu. Mozilla zachowuje się nieco paranoidalnie, gdyż "wykrywa"
    zmianę protokołu bezpiecznego "https:" na INNY (czyli javascript:), stąd
    ten komunikat. Ale do tej pory żadne informacje nie są wysyłane do serwera.

    Natomiast w samej metodzie następuje:
    -kodowanie "złożenia" pinu i nazwy użytkownika,
    -obliczenie skrótu md5 z pinu
    (i tylko te informacje są wysyłane)
    -zamienienie akcji formularza (tej zdefiniowanej na wywołanie funkcji
    javascriptowej) na url "Login".

    I tu słaby punkt: wydaje mi się, że skoro nie ma podanego ani adresu
    hosta, ani protokołu, tylko nazwa dokumentu (a jest nią "Login"), to
    wartości te domyślnie są takie same, jak dokumentu bieżącego.

    Konkluzja: po wciśnięciu przycisku "Logowanie" przeglądarka "pokazuje"
    stronę o adresie "https://www.bphpbk.pl/pi/Login" z zaszyfrowanymi
    parametrami logowania, szyfrując oczywiście całe połączenie.

    Jeśli się myle, proszę poprawcie mnie :)

    Inna rzecz, że funkcje do kodowania PINu i ID użytkownika są też jawne -
    razem z kluczami używanymi do kodowania:

    https://www.bphpbk.pl/js/Keys.js

    Marek

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1