• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Как Работает Подпись И Шифрование Под Веб?

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Всем привета, наверно многих засмущал такой вопрос от меня, но помогите разобраться.

Собственно с толстым клиентом всё понятно - имеем контейнер ID в котором у нас и личный и общий ключ, подписываем/шифруем данные личным ключом проверяем общим, всё ясно.

КАК это происходит под вебом?
Может у кого-то есть пример кода?

Я не совсем понимаю процесс под веб, ID файл вложенный в ПЯ или хранящийся в ID Vault передаёт личный ключ по вебу для подписывания/шифрования? - Как то это "натянуто" звучит
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 927
608
BIT
150
о каком механизме идет речь - штатном для веб (ssl...)?
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
2
Да ничего там приватного не передается кроме пароля на ид файл. Весь процесс шифрации\дешифрации происходит на стороне сервера . SSL до клиента перемешивает только байтики и все.
Я вот только не пойму, в каком виде пароль на ид файл хранится в профиле почтовой базу - не в открытом же виде. Те АПИ ф-ции которые я видел требуют вполне себе удобноваримый пароль а не хеш какой-ть.
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Да ничего там приватного не передается кроме пароля на ид файл. Весь процесс шифрации\дешифрации происходит на стороне сервера . SSL до клиента перемешивает только байтики и все.
Я вот только не пойму, в каком виде пароль на ид файл хранится в профиле почтовой базу - не в открытом же виде. Те АПИ ф-ции которые я видел требуют вполне себе удобноваримый пароль а не хеш какой-ть.
так это уже не шифрование и не подписывание - данные не у клиента, их валидность под вопросом - если всё делает сервер, с таким же успехом можно ничего и не шифровать

а что за команды под веб позволяющие так лихо подписывать/шифровать?
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
2
Вот тут эти команды.
в 8х-9х добавились команды работы с id Vault.
 

savl

Lotus Team
28.10.2011
2 591
309
BIT
138
Я вот только не пойму, в каком виде пароль на ид файл хранится в профиле почтовой базу - не в открытом же виде. Те АПИ ф-ции которые я видел требуют вполне себе удобноваримый пароль а не хеш какой-ть.
Как я понял, часть User.ID, где хранятся пароль и ключи шифруется, причем этим же паролем.
так что может и в открытом виде, так как он, видимо, проходит через некий алгоритм.
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
2
Как я понял, часть User.ID, где хранятся пароль и ключи шифруется, причем этим же паролем.
так что может и в открытом виде, так как он, видимо, проходит через некий алгоритм.
Сорри - если он проходит через некий алгоритм, то он уже не в открытом виде:D

Я думаю что для webmail IBM сбацал свой алгоритм хранения пароля (АКА бэкдор) а для всех остальных - делайте что хотите - но все равно украдем:)
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Вот тут эти команды.
в 8х-9х добавились команды работы с id Vault.
не нашел там ответа как это под веб для себя заюзать

Добавлено:
Сорри - если он проходит через некий алгоритм, то он уже не в открытом виде:D

Я думаю что для webmail IBM сбацал свой алгоритм хранения пароля (АКА бэкдор) а для всех остальных - делайте что хотите - но все равно украдем:)
вот это уже более реальный метод...я так понимаю, что под себя его фиг сделаешь
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!