1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

SSL no Fórum?

Discussão em 'Sugestões e Questões Relativas ao Fórum' iniciada por countzero, 1 de Julho de 2008. (Respostas: 3; Visualizações: 577)

  1. countzero

    countzero Power Member

    Olá,

    Procurei no fórum por posts relativamente a esta questão. Como não encontrei informação, faço a pergunta: já foi considerado activar SSL no Fórum, para os utilizadores? Nem que seja só na fase de autenticação?

    Por vezes temos que utilizar redes menos "confiáveis" (universidade, trabalho, etc.), e, não querendo parecer paranóico, seria interessante termos a hipótese de protegermos as nossas crendencias na Techzone. :)

    Obrigado, desde já, pela atenção dada ao post.

    Cumps,
    JP
     
  2. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    No acto de autenticação, o que é enviado não é a tua password em plain text, mas sim uma hash da mesma, salted. É já um bom avanço contra eavesdropping.
    A seguir, os posts que se colocam não são confidenciais (excepto os das áreas reservadas, mas isso é outra história).

    Pessoalmente, não acho que valha a pena usar SSL num fórum. Para além de ser caro ter uma assinatura reconhecida, pesava mais no servidor, e penso que não traria grandes vantagens a nível de segurança.
     
  3. countzero

    countzero Power Member

    Estive a verificar isso e fiz uma captura de tráfego; a não ser que me tenha enganado, o que é enviado é simplesmente uma hash md5 da password, sem qualquer tipo de salt ou nonce :(

    Código:
    vb_login_username=countzero
    &vb_login_password=
    &s=[B]<hash de sessão?>[/B]
    &securitytoken=guest
    &do=login
    &vb_login_md5password=[B]<hash simples da minha password>[/B]
    &vb_login_md5password_utf=[B]<hash simples da minha password>
    [/B]HTTP/1.1 200 OK
    
    Cumps,
    JP
     
  4. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Tens razão. Também estive a ver, e afinal é o MD5 simples da password que é enviado para o servidor. Estava convencido de que o vB enviava algum salt :wvsore:
     

Partilhar esta Página