Я создал форум phpbb на одном из своих доменов, и, насколько мне известно, на сайте нет SSL-шифрования (я не хочу его покупать, и у сайта нет самозаверяющего сертификата, потому что, когда я получить к нему доступ, я не получаю предупреждений безопасности). Могу я спросить, какое шифрование использует эта система phpbb и безопасно ли запускать это программное обеспечение форума без шифрования?
Какое шифрование использует форум phpbb в домене без SSL?
Ответы (1)
Опасность с phpbb (или чем-либо еще в этом отношении) не в том, используете ли вы сайт с SSL или нет. То, как вы управляете пользовательским вводом, с большей вероятностью может скомпрометировать ваш сайт.
SSL используется ТОЛЬКО для защиты пользовательской информации между клиентом и сервером и для подтверждения того, что сервер соответствует вашим ожиданиям.
Ошибки или ошибки дизайна в phpbb, которые злоумышленники могут использовать для получения контроля над вашим сайтом, — это то, о чем вам следует беспокоиться. SSL не может защитить вас от этого.
Пароли для phpbb должны быть засолены и хешированы в базе данных на случай взлома сайта. Это затруднит злоумышленникам доступ к данным других пользователей.
Я считаю, что сообщения в блогах НЕ зашифрованы в базе данных и, таким образом, будут раскрыты в случае успешной атаки.
person
Sani Singh Huttunen
schedule
08.05.2012
Хм. Но как система форума phpbb отправляет пароли без SSL - в виде обычного текста или зашифрованным определенным образом?
- person Onion; 08.05.2012
Злоумышленник должен будет перехватить связь между клиентом и сервером, чтобы узнать пароль. SSL в некоторой степени защищает вас в этом, но если злоумышленник может успешно перехватить связь, то он, безусловно, может провести SSL-атаку Man-In-The-Middle и по-прежнему получать эту информацию. Я бы по-прежнему больше беспокоился об ошибках и ошибках проектирования в phpbb.
- person Sani Singh Huttunen; 08.05.2012
Спасибо за ответ. Я думаю, это в значительной степени подводит итог — меньше кода, меньше ошибок.
- person Onion; 08.05.2012
@SaniHuttunen SSL неуязвим для атак «человек посередине», если только он не используется ненадлежащим образом. К сожалению, его неправильное использование стало международным видом спорта.
- person user207421; 08.05.2012
