Форум НУЦ РК
Главный раздел
Для разработчиков

Уязвимость пароля
(1 чел.) (1) гость
  • Страница:
  • 1

ТЕМА: Уязвимость пароля

Уязвимость пароля 2 года, 8 мес. назад #2738

  • simakvladimir
  • Новый участник
  • Постов: 9
  • Репутация: 0
Доброе время суток!

На текущем проекте выполняется подписание текстовой информации при помощи NCALayer. Взаимодействие с Java-апплетом осуществляется средствами Js + websocket.

Непосредственно подписание выполняется следующим образом: 
function createCMSSignature(storageName, storagePath, alias, password, dataToSign, attached, callBack) {
    var createCMSSignature = {
        "method": "createCMSSignature",
        "args": [storageName, storagePath, alias, password, dataToSign, attached]
    };
    callback = callBack;
    setMissedHeartbeatsLimitToMax();
    webSocket.send(JSON.stringify(createCMSSignature));
}


Как видно из реализации функции пароль отправляется Java-апплету в открытом виде. Т.е. злоумышленнику достаточно "проснифать" порт, на котором висит апплет, чтобы скомпрометировать пароль пользователя.

Вопрос: нет ли способа передавать апплету зашифрованный пароль (а не открытый)? Если такой способ есть, то есть ли примеры?

Заранее спасибо за помощь!

Re: Уязвимость пароля 2 года, 8 мес. назад #2746

  • ugotbug
  • Завсегдатай
  • Постов: 225
  • Репутация: 14
Добрый день.
Между браузером и NCALayer устанавливается шифрованное соединение - спецификация WebSocket Security.
Могущественный обладатель кольца Знаний
  • Страница:
  • 1
Форум НУЦ РК
Главный раздел
Для разработчиков
FaLang translation system by Faboba