-
Data: 2004-01-20 11:35:55
Temat: Re: bphpbk - migracja sez@m mozilla i nieszyfrowane hasło !!!
Od: Marek Madej <m...@w...INTERIA.i-to.PL> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]B.Szlachetko dnia 2004-01-20 11:52 napisał(a) co następuje:
> Moja mozilla 1.5 (pod linuxem i pod windows) zeznaje po podani login i
> hasła, że
> "Pomimo tego, że bieżące połączenie jest szyfrowane, wszystkie wprowadzone
> dane zostaną przesłane przez połączenie nieszyfrowane, dlatego
> prawdopodobieństwo ich odczytania przez osoby trzecie jest duże.
>
> Czy napewno kontynuować wysyłanie wprowadzonych danych?"
> W wersji angielskiej komunikat jest bardzo podobny.
> Czy ktoś z was juz sprawdził o co chodzi?
> Czy to możliwe, aby mimo bezpiecznego połączenia na SSL sam formularz
> logowania był przesyłany bez szyfrowania?
Nie jestem wielkim specem od JavaScript, ale wygląda na to, że jednak
jest bezpiecznie.
Trochę NTG, ale wyjaśnię mój tok myślenia (może ktoś mnie poprawi?).
Formularz logowania na "bezpiecznej" stronie wygląda tak:
<form name="login" action="javascript:GetPasswd()" method="POST"
class="logForm">
Natomiast funkcja GetPasswd:
function GetPasswd()
{
mainForm=document.forms[0];
if (mainForm.user.value == "" || mainForm.pin.value == "")
{
alert("Nie wpisano nazwy użytkownika lub hasła!!!");
return;
}
else
{
descrypt=cryptpass(mainForm.user.value, mainForm.pin.value);
md5pin=calcSHA1(mainForm.pin.value+mainForm.user.val
ue);
mainForm.pin.value="";
mainForm.pin5.value=md5pin;
mainForm.action="Login";
mainForm.submit();
}
Czyli:
Po wciśnięciu przycisku "Logowanie" wywoływana jest funkcja GetPasswd
javascriptu. Mozilla zachowuje się nieco paranoidalnie, gdyż "wykrywa"
zmianę protokołu bezpiecznego "https:" na INNY (czyli javascript:), stąd
ten komunikat. Ale do tej pory żadne informacje nie są wysyłane do serwera.
Natomiast w samej metodzie następuje:
-kodowanie "złożenia" pinu i nazwy użytkownika,
-obliczenie skrótu md5 z pinu
(i tylko te informacje są wysyłane)
-zamienienie akcji formularza (tej zdefiniowanej na wywołanie funkcji
javascriptowej) na url "Login".
I tu słaby punkt: wydaje mi się, że skoro nie ma podanego ani adresu
hosta, ani protokołu, tylko nazwa dokumentu (a jest nią "Login"), to
wartości te domyślnie są takie same, jak dokumentu bieżącego.
Konkluzja: po wciśnięciu przycisku "Logowanie" przeglądarka "pokazuje"
stronę o adresie "https://www.bphpbk.pl/pi/Login" z zaszyfrowanymi
parametrami logowania, szyfrując oczywiście całe połączenie.
Jeśli się myle, proszę poprawcie mnie :)
Inna rzecz, że funkcje do kodowania PINu i ID użytkownika są też jawne -
razem z kluczami używanymi do kodowania:
https://www.bphpbk.pl/js/Keys.js
Marek
Następne wpisy z tego wątku
- 20.01.04 13:50 B.Szlachetko
Najnowsze wątki z tej grupy
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
- Velo częściowo ugiął się...
Najnowsze wątki
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto
- 2024-09-23 Velo częściowo ugiął się...