Fórum Root.cz

Hlavní témata => Server => Téma založeno: Fen 16. 10. 2018, 13:30:59

Název: PLAIN autentizace
Přispěvatel: Fen 16. 10. 2018, 13:30:59

Je v pořádku používat PLAIN autentizaci (např. na poštovním serveru), pokud veškerá komunikace probíhá přes TLS? Nebo má smysl tohle nějak řešit?

Název: Re:PLAIN autentizace
Přispěvatel: Karel 16. 10. 2018, 14:00:17

IMO to v poradku neni kvuli MITM spojenem s pripadnym vyskytem hlouposti uzivatele.

Název: Re:PLAIN autentizace
Přispěvatel: Filip Jirsák 16. 10. 2018, 15:14:00

Při PLAIN autentizaci se server při každém přihlášení dozví uživatelského heslo. Může ho logovat, ukládat, někam poslat atd. Server přitom může ovládat zlý útočník, a nebo zlý právoplatný majitel. Proto jsou lepší takové způsoby autentizace, kdy server heslo vůbec nezná, zná jenom hash, a ani po síti se neposílá heslo, ale zase jen hash. Ještě lepší je, když ten hash posílaný po síti není ten, který si server pamatuje, ale hash toho zapamatovaného hashe. Pokud bude případnému útočníkovi k ničemu, i když získá ten hash poslaný po síti.

Název: Re:PLAIN autentizace
Přispěvatel: agent 16. 10. 2018, 18:18:30

Přijde na to, kde se to použije.
Na diskusním fóru o vaření je to dostačující, ale pokud začne jít o peníze (obchodní, firemní, bankovní systémy), je potřeba to řešit důkladněji (viz Filip Jirsák).
Ale pokud už to bezpečnější řešení máš někde vyzkoušené a použité, není důvod použít ho i ve všech dalších projektech včetně fóra o vaření. Žádná práce navíc to pak už není.

Název: Re:PLAIN autentizace
Přispěvatel: RDa 16. 10. 2018, 21:16:11

PLAIN ma smysl jenom kdyz jsou tyto 2 podminky splneny:
 - je nutno mixovat ruzne sluzby se stejnym heslem (prihlaseni do sluzby A se provadi autentizaci vuci sluzbe B)
 - pouziva se SSL/TLS vuci MITM