Hirdetés
- Teljes hátraarc az Intelnél, házon belül maradhat a NEX üzletág
- Drágul a Raspberry Pi, de lesz egy új, olcsó verzió
- Horvát fricska Elon Musk önvezető Tesláira
- Amilyen gyorsan jött, olyan gyorsan ment is a világ legdrágább csúcs-VGA-ja?
- Rémisztő árakkal szembesülnek a notebookgyártók az új mobil platformoknál
- Milyen videókártyát?
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Az AI-piac kivégezte a Micronhoz tartozó Crucialt
- Melyik tápegységet vegyem?
- Raspberry Pi
- Már csak az ár a titok a Redmi Pad 2 Pro kapcsán
- Milyen egeret válasszak?
- Milyen notebookot vegyek?
- Akciókamerák
Új hozzászólás Aktív témák
-
válasz
supercow
#17073
üzenetére
Jó az oldal, amit linkeltél (bár több, mint két éves a cikk) - de továbbra is kitartok amellett, hogy a böngésző a leggyengébb szem a védelmi láncban. Amennyiben böngésző dekódol az egyetlen helyben tárolt kulccsal - itt az egyetlen probléma maga a böngésző - egyszerűen nincs lehetőség megfelelően "elzárni" a kulcsot, amit a kliens oldali kód használ.
Kicsit végiggondolva, akövetkezők használhatók a kulcs átadására (szerver és kliens oldal között):
1. Cookie, form fields, header fields - mindegyikkel az a gond, hogy bármelyik JS elérheti, amelyik be tud töltődni az oldal scope-ja alatt...
2. Javascript (non-global) hardcoded privát változó/konstans - ezzel az a gond, hogy cache-elődik a gépre és utólag kibányászható...
3. XHTTP Request http-only cookie-val, válasz (master password, titkosított jelszó adatbázis) privát változókba tárolva - ez talán legkevésbé kockázatos megoldás, így nem kell hardcode-olni a master hash-t és a jelszó adatbázist. az alábbi triviális támadási módok vannak ellene:
- Másik JS is tud egy XHTTP kérést küldeni és neki is elküldi a szerver a master hash-t/ jelszó adatbázist. Illetve másik JS is el tudja érni a privát változóink publikus interfészét, tudja hívogatni a metódusokat...
Digitálisan aláírt JS kikényszerítésével lehet esetleg védekezni ezek ellen.
- Böngésző JS debuggerén keresztül hozzá lehet férni a változókhoz (egyes beépülő modulok ezt is tudják kontrollálni)
Új hozzászólás Aktív témák
- Mibe tegyem a megtakarításaimat?
- Milyen videókártyát?
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Synology NAS
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Luck Dragon: Asszociációs játék. :)
- Az AI-piac kivégezte a Micronhoz tartozó Crucialt
- Melyik tápegységet vegyem?
- BestBuy ruhás topik
- További aktív témák...
- DJI Osmo Action Akciókamera és Kiterjedt Tartozékszett Eladó
- Samsung Galaxy Z Fold 7 Kék, 512 GB, 100% akku, megkímélt állapot, garanciával
- Crucial 8GB DDR4 3200MHz Laptop RAM (SODIMM), hibátlan állapotban
- Üzletből, garanciával, Lenovo ThinkPad P14s Gen2. Ryzen 5 Pro-5650u/16GBRAM/512GBSSD/FULLHD IPS
- SAMSUNG Odyssey G4 LS27BG400EUXEN + INGYEN SZÁLLÍTÁS
- Samsung Galaxy A50 128GB, Kártyafüggetlen, 1 Év Garanciával
- BESZÁMÍTÁS! ASRock B450 R5 5600X 16GB DDR4 512GB SSD RTX 3060 12GB Zalman Z1 Plus Cooler Master 750W
- GYÖNYÖRŰ iPhone 13 mini 128GB Midnight -1 ÉV GARANCIA - Kártyafüggetlen, MS3317, 100% Akksi
- Gamer PC-Számítógép! Csere-Beszámítás! I5 10500T / RTX 3050 / 32GB DDR4 / 512 SSD!
- GYÖNYÖRŰ iPhone 14 Pro Max 128GB Black -1 ÉV GARANCIA - Kártyafüggetlen, MS3915, 100% Akkumulátor
Állásajánlatok
Cég: ATW Internet Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest