Php+ssl

[pastuhoff]

Коллеги, если кто писал скрипты под работу через https – поделитесь, плз, информацией.
Я правильно понимаю, что оплатив и настроив сертификат, любой серфер при обращении к сайту будет общаться шифрованными данными? И все это будет автоматически делаться? Не нужно будет из php ничего дополнительно делать (типа устанавливать и проверять какой-либо ssl-id серфера и тп)?
Мне лично важно только то, что любые данные при любых коннектах к любым скриптам любыми серферами будут шифроваться, а уж “логинить” и идентифицировать (с использованием сессий) серферов – это я на php напишу.
Спасибо!

[X-Ception]

Все верно, шифрование происходит на более низком уровне (апач-клиент), а пхп работает уже над апачем - ему уже все равно как там физически передаются данные.

[pastuhoff]

Спасибо. А установка и настройка, я так понимаю, должна делаться хостером? Мне остается только оплатить услугу и сам сертификат?

[X-Ception]

Это уже обсуждается с хостером.
Например, не все панели управления позволяют устанавливать сертификаты из обычных пользовательских аккаунтов.

[pastuhoff]

Благодарю.

Еще пара вопросов по безопасности:
1 Хакер может подделать ip (значение $_SERVER["REMOTE_ADDR"])?
2 Куки, живущие до закрытия окна браузера хранятся во временных файлах у клиента? Если да, то эти файлы можно перехватить трояном?
3 Хакер гарантированно не сможет перехватить куки, поставленные до закрытия окна браузера при https-соединении?
Спасибо.

[pastuhoff]

И еще один вопрос:
Насколько сложно перехватить пароль, ушедший по мейлу от сервера? Насколько я понимаю - это есть гигантская дыра в защите.

[OverClocker]

 

1 Хакер может подделать ip (значение $_SERVER["REMOTE_ADDR"])?

Само значение подставить, которое он хочет (например 255.255.255.1 ) не может, т.к. для того, чтобы апач отдал данные он должен понимать, куда их отдавать, а переменная $REMOTE_ADDR передаётся лично от апача. Злоумышленник, чтобы поменять адрес может использовать только использовать прокси.

 

2 Куки, живущие до закрытия окна браузера хранятся во временных файлах у клиента? Если да, то эти файлы можно перехватить трояном?

Да, можно. Однако хорошо квалифицированный программист шифрует небезопасные данные (например пароль) командой md5();

 

3 Хакер гарантированно не сможет перехватить куки, поставленные до закрытия окна браузера при https-соединении?

Хороший вопрос. Самому интересно.

 

Насколько сложно перехватить пароль, ушедший по мейлу от сервера? Насколько я понимаю - это есть гигантская дыра в защите.

Совершенно верно! Если на сервере стоит троян, то возможен перехват любых данных, в зависимости от технических характеристик трояна. Данные же, которые идут при передаче возможно перехватить через сниффер в локальной сети клиента (если таковая имеется), опять же троян и др. технические особенности, которые всем известны.

[pastuhoff]

Спасибо за ответы!
У меня идея старинная: Принимаем логин и пароль от юзера. Если пароль совпадает с хешем в базе - пишем случайный кук (мол, сессия открыта, доступ получен). Этот кук сверяем при каждом вызове скрипта. Время жизни кука тоже проверяем по данным из базы. Помимо этого пишем в базу хеш от ip и браузера залогиневшегося серфера. Если это все закрыть ssl-ем - я так понимаю, защиту можно считать надежной. За исключением перехватата пароля троянами при его вводе (это уже на совести серфера). Но вот еще интересует, могут ли этот кук перехватить как-то и подделать ip, дабы подделать текущую "сессию"?
Ну и с напоминанием пароля надо что-то делать...

[SvT]

с напоминанием делают обычно...
на почту письмо.. если вы это послали, перейдите по ссылке... введите нью пасс.. если ящик стырят, тоже всё... но это ужё виа юзверя..

[Lanka]

Сообщение от pastuhoff

Но вот еще интересует, могут ли этот кук перехватить как-то и подделать ip, дабы подделать текущую "сессию"?

Подделать кукис запросто. IP врядли