תחרות

[site]

ילדה בלבן, Admini נתן לך את התשובה

 

[IgalR]

כשהדף המקבל הוא בSSL זה לא אפשרי

אתה יכול לקבל את המידע אבל הוא מוצפן ובתאוריה אמור לקחת לך המוון זמן לפענוח . אבל לא יותר פשוט לקפוץ לתחנת דלק ולאסוף כמה שוברים של כרטיסי אשראי מהפח ? או בסופרמרקט הקרוב חפש את עגלות הקניה עם החשבונות זרוקים ?

 

[site]

הנה עוד הסבר הגיוני

זה שאת רושמת https ב- action זה עדיין לא מצפין את המידע מאחר ואת עבודת ההצפנה עושה תעודת ה- SSL והיא נמצאת על השרת והטופס נמצא אצל הלקוח. לכן טופס שלא יהיה מאובטח אף הוא מאפשר למידע המוצג בו להיות לא מוצפן ואף להישלח לא מוצפן וכפי שאמרתי קודם, המידע הזה מטייל ברשת עד אשר הוא פוגש את הדף המקבל ואת תעודת האבטחה. לפי שיטתך בעצם כל אדם שירשום HTTPS בשדה ה- action יגרום לחומר המועבר להיות מוצפן ולא משנה אם יש לו או אין לו תעודת אבטחת SSL על השרת וזה לא מסתדר לי. לכן הדבר היחיד שמסתדר לי הגיונית ששני הדפים צריכים להיות מאובטחים. בברכה,

 

[ילדה בלבן]

לא הבנת את ההסבר שלו...

 

[בוב כבר בלי המסטיק]

לפני שאתה ממשיך בניחושים "מושכלים"

עדיף שתקרא קצת את ה rfc כדי שתבין קצת על מה אתה מדבר....אולי זה יחסוך לך קצת אי נעימויות ויחסוך מאיתנו את ערמת השטויות שכתבת בשלושת ההודעות האחרונות שלך לנוחיותך

 

[site]

...

שמע אם אתה חושב שמה שכתבתי הוא שטויות איך אומרת ההיא סחתיין עליקום! אתה לא חייב לקרוא גם לאחר שעיינתי בחומר שבקישור שהראת, אני בכל זאת עומד על טענתי כי רצוי וכדאי מאוד ש 2 הדפים יהיו מאובטחים SSL ומבחינתי לא הצלחת ללמד או לשכנע אותי אחרת.

 

[בוב כבר בלי המסטיק]

אם לא הצלחת ללמוד משהו

(שזה דבר די מפתיע בהתחשב בהיקף ופירוט החומר שהיית "אמור" לקרוא)זה כבר בעיה שלך, זה שלא הצלחתי לשכנע אותך מעניין אותי כקליפת השום...או כפי שאתה אומר סחתיין עליכום יא באבא

 

[IgalR]

אחרי שקראת את כל החומר החומר

אתה אמור להגיע למסקנות הבאות : 1) מספיק רק בדף שאליו עושים POST . 2) רצוי שיהיה בכל האתר . 3) כדאי שיהיה בשני דפים לפחות . 4) לא צריך בשום דף .

 

[Admini]

לא עם פרוקסי

 

[antidot]

שטויות

הדף ששולח לא חייב להיות מוצפן. הדף המקבל כן. כפי שילדה כבר אמרה, אם הפרוטוקול המצויין בaction של הטופס הוא HTTPS, מתבצע תהליך של יצירת SSL session מוצפן והPOST כבר מוצפן כיוון שהוא חלק מהSSL session. הפרוקסי סה"כ יראה פרוטוקול HTTPS הלא ניתן לפיענוח. זאת אחת הסיבות שגם לא עושים בד"כ caching לHTTPS לטובת caching. את HTTPS מנתבים לפרוקסי אך ורק אם רוצים לוודא שתעבורת האינטרנט עוברת דרך מקום ידוע (כאשר אין יציאה ישירה החוצה בפרוטוקול HTTPS). פרוקסי או לא פרוקסי, הדף המקבל חייב להיות מוצפן. ברגע שהוא מוצפן, בלי לפרוץ את ההצפנה, אין לך גישה לנתונים ולא משנה איפה תשים את הסניפר. אחת הסיבות להצפנת הדף השולח שאני יכול לחשוב עליה היא המצב הבא: 1) המשתמש ממלא פרטים שגויים 2) הטופס נשלח לדף מוצפן (עד כה הכל מאובטל ויפה) 3) בצד שרת מתבצעת בדיקה (ונניח שמדובר ברישום לאתר ושם המשתמש כבר קיים) 4) השרת מחזיר את הדף עם הטופס כאשר השדות התקינים כבר מולאו עם בקשה לתקן כל זה בהנחה שהדף עם הטופס הוא דינמי. עכשיו כיוון שהדף עם הטופס אינו מוצפן, ניתן להסניף לנתונים המועברים מהשרת ללקוח. לדעתי זאת סיבה מספיק טובה בשביל לאבטח את שני הדפים. Antid0t

 

[ילדה בלבן]

גם כאשר רק הדף המקבל

 

[IgalR]

הלוגיקה שלך בידיוק מדגימה

למה המצב הכי גרוע זה SSL בדף הקולט את הנתונים מהלקוח וללא SSL בדף המקבל את הנתונים . תחשוב : אתה מחכה במארב ל SSL . מתביית על IP . ופתאום נופל לך לידיים נתוני כרטיס האשראי רק מה .... הפתעה לא צריך צריך להתאמץ כי הם אפילו לא מוצפנים .

 

[בוב כבר בלי המסטיק]

הרבה מילים גבוהות == קשקוש אחד גדול

 

[roee]

אני מוכן להתערב שאני יכול למחוק לך

את רוב השרת

 

[בוב כבר בלי המסטיק]

לשרת שלי בטוח לא....

מהסיבה הפשוטה שאין לי שרת ברשת....ולשרת שיש לי הממ...קצת קשה להגיע

 

[dors]

{בכמה אתה מוכר את המרצפות?}

 

[בוב כבר בלי המסטיק]

שקל שבעים ל20 על 20(בס"מ)

 

[dors]

מה זה על זה כלום!!

אני מוכן לתת 2 שח למטר על מטר.

 

[בוב כבר בלי המסטיק]

לא מוכן למכור לך במחיר הזה ../images/Emo98.gif

 

[IgalR]

כמו שאומרים :

"מרבה נכסים מרבה דאגה"