我想包括在網站安全登錄,並給出的威脅模型,我想知道如果我可以放心地回落到這樣一個更快的平原連接:
- 通過安全連接,談判隨機令牌
T
。這存儲在一個cookie中。 - 服務器商店
f(T)=hash(private_salt,T,username,password,$_SERVER['REMOTE_ADDR'])
T
稍後在未加密的連接上共享。服務器重新計算f(T)
以驗證連接。
這個想法是T代表沒有特定的信息,即使它被盜,來自不同始發IP地址的連接也會導致計算不同的f(T)
。
明顯的弱點是會話在NAT後面被盜用。假設我們可以在實踐中解決這個問題。這個問題基本上歸結爲:欺騙連接有多容易,保留$_SERVER['REMOTE_ADDR']
?
此網站只需要適度的安全。不會有敏感的流量。 威脅模型基本上是爲了應對破壞行爲。我只需要阻止無聊的人,而不是俄羅斯黑手黨。鑑於這個假設,上述協議是否足夠安全?
另外,讓我們假設這發生在一個普通的網絡瀏覽器和LAMP - 爲了安全的密碼傳輸,是https城裏唯一的遊戲?似乎Diffie-Hellman密鑰交換或類似的就足夠了(模擬服務器不在威脅模型中),並且不需要所有簽名警報。有大多數瀏覽器支持的標準apache/php模塊嗎?
這是一個「大型網絡」某種特殊的企業內部設置?還是在家裏的用戶常見的做法? – spraff 2012-02-24 17:21:39
我當時在大學。然而,問題依然存在,即任何擁有動態IP的人(即大多數人)在登錄時都會遇到問題。 – 2012-02-24 17:24:10
如果您的客戶端是移動設備,該怎麼辦?說一臺筆記本電腦或手機。然後你會遇到同樣的問題。 – diedthreetimes 2012-02-25 06:35:06