Безопасно ли передавать пароль через ajax?

Question

[4sadly]

php:

<tr id="6">
	<td>admin</td>
	<td><input type="password" autocomplete="off" name="password" value="Пароль" id="password_6"><br></td>
	<td><button type="submit" class="btn" id="change_password">Сменить</button></td>
	<td>есть</td>
	<td><button type="submit" class="btn" id="change_activation">Деактивировать</button></td>
	<td><button type="submit" class="btn" id="delete">Удалить</button></td>
</tr>
<tr id="19">
	<td>test</td>
	<td><input type="password" autocomplete="off" name="password" value="Пароль" id="password_19"><br></td>
	<td><button type="submit" class="btn" id="change_password">Сменить</button></td>
	<td>есть</td>
	<td><button type="submit" class="btn" id="change_activation">Деактивировать</button></td>
	<td><button type="submit" class="btn" id="delete">Удалить</button></td>
</tr>

js:

document.addEventListener('click', function(e) {
		var act=null;
		var pass=null;
		var id = event.target.parentElement.parentElement.id;
		if(event.target.id=='delete'){
			act = 'delete';
		}else if(event.target.id=='change_password'){
			act = 'change_password';
			pass = document.getElementById('password_'+id).value;
			alert(pass);
		}else if(event.target.id=='change_activation'){
			act = 'change_activation';
		}
		if(act!=null){
			alert(act);
			var xhr = new XMLHttpRequest();
			xhr.open('POST', '/work/users.php', true);
			xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
			xhr.onreadystatechange = function() {
				if (xmlhttp.readyState == 4) {
					if (xmlhttp.status == 200) {
						alert(xmlhttp.responseText);
					}
				}
			};
			xhr.send('id='+encodeURIComponent(id)+'&act='+encodeURIComponent(act)+'&pass='+encodeURIComponent(pass));
		}
	});

безопасно ли так передавать пароль или другие данные?

Answer 1

[Сергей Соколов]

По протоколу HTTPS безопасно. По HTTP — опасно.

Comments

[xmoonlight]

Сергей Соколов,

По протоколу HTTPS безопасно.

не безопасно.

[Karpion]

xmoonlight, а можно подробнее? Вроде, при работе по HTTPS - клиент всегда шифрует данные публичным ключом сервера.

[xmoonlight]

Karpion, читайте про https и что такое центр сертификации и для чего он нужен.

[Karpion]

xmoonlight, Ссылка на конкретную доку будет?

Центр сертификации удостоверяет ключи сервера. Иногда сам, иногда через цепочку посредников.

Конечно, если центр сертификации взломали - безопасность порушена. Ну так полной безопасности не бывает.

[xmoonlight]

Karpion, центр сертификации (или его посредники) - это звенья цепи, нарушающие безопасность, т.к. они выдают публичный ключ.

Ну так полной безопасности не бывает.

со сторонними ЦС - уж и вообще о безопасности речи идти даже не может.

[Karpion]

xmoonlight, кому они выдают публичный ключ? Он на то и публичный, чтобы раздавать его всем желающим!

Без сторонних ЦС - каждый клиент должен найти безопасный канал получения корневого сертификата от каждого сервера, с которым собирается работать. В большинстве случаев - это нереально.

[xmoonlight]

Karpion, Одноразовый линк с ограничением по времени в письме при регистрации юзера - отличный способ это сделать.

[xmoonlight]

Karpion,

Он на то и публичный, чтобы раздавать его всем желающим!

Думайте дальше: для чего они его раздают?

[Karpion]

xmoonlight, "Одноразовый линк с ограничением по времени в письме при регистрации юзера" - хорош только если юзер регистрировался на правильном сайте. А если MiTM был там уже при регистрации?

ЦС раздаёт свои публичные ключи для того, чтобы все желающие могли убедиться в истинности его подписей под сертификатами сервером.

[xmoonlight]

Karpion,
1. При раннем mitm на всех каналах - ничего не поможет.
2. Нет. Думайте.

[Karpion]

1. Изначально сертификаты идут в дистрибутиве операционки. Для их подделки - надо намного более ранний MitM. А иногда - MitM на канале поставки CD/DVD-дисков и/или компьютеров с предустановленной операционкой.

2. Объясняйте.

[xmoonlight]

Karpion,
1. Не имеет значения.
2. Не собираюсь даже. Ищите и понимайте схему работы SSL с публичными ЦС.

[Сергей Соколов]

xmoonlight, забыли обсудить механизмы ввода пароля, скрытое видеонаблюдение за клавиатурой и использование микрофона ноутбука для определения нажатых клавиш. </sarcasm>

[Robur]

Сергей Соколов, Если кому-то хочется позанудствовать то можно дойти и до того что даже думать про пароль "небезопасно".

[Сергей Соколов]

Robur, ..и прийти к поиску достоверного отличия истинного намерения человека от вынужденных действий; к философии и рассуждениям о свободе воли и детерминизме.

Answer 2

[xmoonlight]

Без шифрования данных публичным ключом своего сервера, любая передача данных - небезопасна!

Comments

[4sadly]

хорошо, а как мне правильно передать пароль, так, чтобы его никто не смог взять?

[xmoonlight]

4sadly,
1. Пароль - всегда хешируется изначально перед отправкой на стороне клиента. Т.е. открытый пароль - никогда не передаётся.
Это нужны доп.js-либы с функциями хеширования.
2. Читаете про ассимитричное шифрование, публичные и приватные ключи на википедии и понимаете смысл.

[Rsa97]

xmoonlight,

1. Пароль - всегда хешируется изначально перед отправкой на стороне клиента.

В чём глубинный смысл такого хэширования? Чем ситуация после перехват такого хэша будет принципиально отличаться от ситуации после перехвата пароля?

2. Читаете про асинхронное шифрование,

Может всё-таки асимметричное?

[Vladislav Orlov]

xmoonlight, А как быть с тем, что нужно сразу проверить пароль на валидность?
Я понимаю вы проверяете на клиенте, но что мешает клиенту отправить хэш пароля который проверить на валидность уже на сервере уже врядли сможете - лишь положить в базу

п с - быть может я чего-то не понимаю

[4sadly]

xmoonlight, если на php у меня пароль хешируется так:

$user->password = password_hash($data['password'], PASSWORD_DEFAULT);

Как его хешировать на js, чтобы перед отправкой он был таким же

[xmoonlight]

4sadly, найти такое же хеширвание на js.

[4sadly]

xmoonlight, и тогда это будет безопасно?

[xmoonlight]

Rsa97,
1. Тем, что не будут знать его, если перехватят, чтобы с одним паролем не пытаться входить (проверять акки) на другие сервисы с тем же логином.

2.Верно: ассимитричное.

[xmoonlight]

haveacess,
1. Никогда не нужно проверять пароль отдельно от ника на сервере.
2. На простые пароли - проверяется на стороне клиента через js-скрипт, regex-ом (регулярным выражением).
3. В базу - я кладу не этот хеш (который пришёл с клиента), а "солёный" хеш.

PS: можно составить сигнатуры простых парольных хешей для проверки на сервере, чтобы сразу отмести обход регулярки на стороне клиента.

[Rsa97]

xmoonlight,

1. Тем, что не будут знать его, если перехватят, чтобы с одним паролем не пытаться входить (проверять акки) на другие сервисы с тем же логином.

Это, скорее, проблема пользователя - использовать на разных сайтах разные пароли.

[xmoonlight]

Rsa97, ну, проблема и придумывать сложные пароли, однако, фильтр на валидацию сложности пароля - стоит почти у всех.

[xmoonlight]

4sadly,

и тогда это будет безопасно?

в плане передачи "чистого" пароля (парольной фразы) - да.