Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
счит. данных файла с секр. ключем (POST)
 
Помогите написать скрипт идентефикации и аунтентификации пользователя в web с помощью секретного ключа, хранящегося в файле (например sekret.key) на каком-либо носителе пользователя (HDD, USB  и т.д.).
Вообщем пользовтель заходит на страницу, его приглашают указать путь к секретномому ключу на его компутере, данные считываются из файла и передаются методом POST, далее уже идёт обработка ключа.
Пример:
должно получится что-то вроде этого:
<a href=https://service.cyberplat.ru/cgi-bin/mts_espp/index.cgi rel="nofollow" target="_blank">https://service.cyberplat.ru/cgi-bin/mts_espp/index.cgi</a&gt;

PS. вопрос задётся ввиду не глубоких (даже очень) познаний jаvаscriрt
 
Хм. Тут Яваскрипт отдыхает. Пишется на пхп, а лучше на перл.

Если время будет напишу.

Р.S. А ключ пользователь каким образом получать будет?
 
BlackFacker, для чего тебе использование sekret.key при входе?
 
Цитата
Старик Джо пишет:
Хм. Тут Яваскрипт отдыхает. Пишется на пхп, а лучше на перл.

Если время будет напишу.

Р.S. А ключ пользователь каким образом получать будет?
Насчет яваскрипт, согласен. Смутила мой разум ссылка на cyberplat(см.выше). На php я и сам, впринципе, напишу.

А ключ пользовтель будет получать почтой (не электронной и не голубиной:) на дискете.
 
Цитата
индевять пишет:
BlackFacker, для чего тебе использование sekret.key при входе?
для индетификации и аунтентификации (как было сказано выше), частично для шифрования и дешифрования инф. в дальнейшем. Хочу избавить пользователя от заполнения форм с логинами и паролями, а так же от использования простых паролей пользователем.
 
Цитата
Старик Джо пишет:
Хм. Тут Яваскрипт отдыхает. Пишется на пхп, а лучше на перл.
IMHO форму для ввода ключа все таки придётся писать на JS, чтоб указать расширение открываемого файла (в данном случае .key). А как? Я х.з.

ps. понятно, что можно фильтровать это самое расширение после указания пути на файл, но это будет не красиво.
 
Цитата
BlackFacker пишет:
 
Цитата
индевять пишет:
BlackFacker, для чего тебе использование sekret.key при входе?
для индетификации и аунтентификации (как было сказано выше), частично для шифрования и дешифрования инф. в дальнейшем. Хочу избавить пользователя от заполнения форм с логинами и паролями, а так же от использования простых паролей пользователем.

Ну а как быть если информация со съемного носителя будет утеряна, повреждена или украдена? Насколько я понимаю, обработка файла с данными пользователя будет происходить на сервеной стороне, так в чем тогда преимущество твоего метода от хранения пароля в текстовом документе, только в том, чтобы выбрать путь к файлу вместо ввода логина и пароля?
 
Цитата
индевять пишет:
nbsp; nbsp; nbsp;Ну а как быть если информация со съемного носителя будет утеряна, повреждена или украдена?
В случае повреждения генерируется и отсылается новый ключ.
Потеря - этого в принципе не может быть (политика безопасности и разработнные в соотвестии с ней правила)
Кража - то же маловероятна, но в случае таковой так же меняется ключ. Установить, что кто заходит с ворованного ключа - как два пальца об асфальт с разработной мной системой обнаружения вторжений (во загнул :)
 
Цитата
индевять пишет:
Насколько я понимаю, обработка файла с данными пользователя будет происходить на сервеной стороне, так в чем тогда преимущество твоего метода от хранения пароля в текстовом документе, только в том, чтобы выбрать путь к файлу вместо ввода логина и пароля?
Именно, а так же избеж. исп. простых паролей.
 
Для начала определись как будет зашифрован файл и как расшифровано его содержимое, тогда написание скрипта не составит большого труда.
 
Цитата
индевять пишет:
Для начала определись как будет зашифрован файл и как расшифровано его содержимое, тогда написание скрипта не составит большого труда.
все уже давно определено :) я просто немогу написать форму, которая будет принимать этот ёый файл с ключем как тут: <a href=https://service.cyberplat.ru/cgi-bin/mts_espp/index.cgi  rel="nofollow" target="_blank">https://service.cyberplat.ru/cgi-bin/mts_espp/index.cgi </a>
возился с кодом этой штуки и ничего не понял, прошу помоч разобратся.
 
<a href=http://php.spb.ru/php/upload.html rel="nofollow" target="_blank">здесь</a>
 
тэк-с.. а что мешает использовать сертификаты? пример - webmoney.ru
 
2.cens
а что за сертификаты? в чем смысл? (поподробнее, что-то никак не раскурю)
 
http://www.sabc.co.za/manual/ibm/9atssl.htm
 
Цитата
.cens пишет:
http://www.sabc.co.za/manual/ibm/9atssl.htm
вот ты о чем :)
была бы моя воля наворотил бы дел с ssl, но просить товарисча отвечающего за web сервер прикрутить модуль ssl к апачу - бесполезно. Так то вот.
так что это не вариант :(

ЗЫ. два месяца назад писал пиьсмо с просьбой прикрутить библиотеку interbase к php - итог пришлось изварщаться с конвертированием из mysql в ib и обратно, поднимая web внутри сети.
 
думаеца поднять ssl - прямая обязанность админа... в отличие от phpшных модулей. лучше поговори - всё-таки шифрования трафика всяко надёжнее.

читать "шифрованиЯ" как "шифрованиЕ"
 
Цитата
BlackFacker пишет:

Вообщем пользовтель заходит на страницу, его приглашают указать путь к секретномому ключу на его компутере, данные считываются из файла и передаются методом POST, далее уже идёт обработка ключа.
Пример:
должно получится что-то вроде этого:
https://service.cyberplat.ru/cgi-bin/mts_espp/index.cgi

PS. вопрос задётся ввиду не глубоких (даже очень) познаний jаvаscriрt

На киберплат используется PKCS #1 MD5 с RSA
Cекретный ключ не стоит передавать на сервер, на то он и секретный... Необходимо у юзера сгенерировать пару открытый/закрытый ключ, данные формы шифровать парой открытый ключ сервера+закрытый ключ юзера, на стороне сервера дешифровать закр. ключеом сервера+откр. ключем пользователя. Примеры
http://www.cryptopro.ru/CryptoPro/developers/developers.asp
http://www.cryptopro.ru/CryptoPro/forum/forum.asp
http://www.cryptopro.ru/CryptoPro/links/links.asp
Страницы: 1
Читают тему