Toon posts:

Token Encrypten

Pagina: 1
Acties:

Onderwerpen

Encryptie

zaterdag 11 december 2010 13:17

Acties:
  • 0 Henk 'm!
  • dfr0st
  • Registratie: Januari 2001
  • Laatst online: 03-09 14:54

dfr0st

Geel is mooier

Topicstarter
Krijg natuurlijk gisteren net voor het weekeind een test url voor een project waar ik mee bezig ben.
We gebruiken software die rss feeds kan uitlezen. Normaal is dat dus niet zo moeilijk maar
bij een nieuwe feed willen ze persee encryptie gebruiken, dit zeiden ze:

"Graag zouden wij een encryptie van itemcode;timestamp gebruiken"

Als ik de url van ze gebruik met alleen de itemCode krijg ik de volgende melding:
"Invalid length for a Base-64 char array"

Dus ik heb het volgende al geprobeerd (in php) met base64_ecode:
itemCode = 15885
timeStamp = 1292066779
token = 158851292066779
base64_ecode
encryptedToken = MTU4ODUxMjkyMDY2Nzc5
http://[website]/Site/rss/ContributorsRequestXML.aspx?itemCode=MTU4ODUxMjkyMDY2Nzc5

Ik heb dit ook bij ze aangekaart maar een engineer is pas maandag beschikbaar, en die tijd heb ik niet.

Ik heb helemaal geen ervaring met encryptie, dus ik hoop dat iemand kan vertellen wat gebruikelijk is.

grt,
dfr0st

-

zaterdag 11 december 2010 13:20

Acties:
  • 0 Henk 'm!
  • Sebazzz
  • Registratie: September 2006
  • Laatst online: 09:08

Sebazzz

3dp

Base64 is geen encryptie maar een manier om bytes via ASCII tekst te representeren. AES is encryptie, rsa is encryptie, base64 niet.

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

zaterdag 11 december 2010 13:25

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 12-09 14:11

Thralas

dfr0st schreef op zaterdag 11 december 2010 @ 13:17:"Graag zouden wij een encryptie van itemcode;timestamp gebruiken"
Dat is dan fijn voor ze, maar hebben ze ook een documentje meegestuurd waarin ze je vertellen hoe ze daar die encryptedToken van willen afleiden?

zaterdag 11 december 2010 13:30

Acties:
  • 0 Henk 'm!
  • dfr0st
  • Registratie: Januari 2001
  • Laatst online: 03-09 14:54

dfr0st

Geel is mooier

Topicstarter
Sebazz - heb even een snelle search gedaan op http://nl.php.net/ voor AES en RSA maar krijg 123 niks hoe ik dat in php moet doen (ga nu ver searchen)

Thralas - nee, geen document, niks. Net voor 17:00 online gegaan en ik was toen niet achter mijn computer maar onderweg met de auto, vannacht pas gezien en geprobeerd wijs uit te worden.

-

zaterdag 11 december 2010 13:37

Acties:
  • 0 Henk 'm!
  • Dido
  • Registratie: Maart 2002
  • Laatst online: 12-09 19:41

Dido

heforshe

Misschien zie ik iets over het hoofd, maar wat beveilig je door een encrypted code in de url te zetten?
Een man-in-the-middle zal het een zorg zijn of het wel of niet encrypted is, hij onderschept gewoon de url, ecrypted of niet, en kan naar binnen.

(Zo was een of andere jojo bij mij op het werk ook tot de conclusie gekomen dat er meer beveiliging nodig was, en dat de usercredentials dus encrypted over de lijn moesten. Zinloos, aangezien de client ze encrypt, en het eerste wat de server doet is ze decrypten, zodat iemand die naar binnen wil vanaf dat moment alleen maar geintresseerd is in de encrypted gegevens.)

Wat betekent mijn avatar?

zondag 12 december 2010 20:52

Acties:
  • 0 Henk 'm!
  • kunnen
  • Registratie: Februari 2004
  • Niet online

kunnen

Dido schreef op zaterdag 11 december 2010 @ 13:37:
[..]

(Zo was een of andere jojo bij mij op het werk ook tot de conclusie gekomen dat er meer beveiliging nodig was, en dat de usercredentials dus encrypted over de lijn moesten. Zinloos, aangezien de client ze encrypt, en het eerste wat de server doet is ze decrypten, zodat iemand die naar binnen wil vanaf dat moment alleen maar geintresseerd is in de encrypted gegevens.)
Daarom stuur je ook altijd een unieke token mee in je login formulier (die ook in de encrypted data opgenomen wordt), zodat die encrypted gegevens slechts eenmalig geldig zijn. Perfect systeem hoor, bij gebrek aan HTTPS. Merk wel op dat je met deze methode wel nog steeds gevoelig bent voor session hijacking.

[ Voor 14% gewijzigd door kunnen op 12-12-2010 20:53 ]

zondag 12 december 2010 21:00

Acties:
  • 0 Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 11-09 13:55

frickY

dfr0st schreef op zaterdag 11 december 2010 @ 13:30:
Sebazz - heb even een snelle search gedaan op http://nl.php.net/ voor AES en RSA maar krijg 123 niks hoe ik dat in php moet doen (ga nu ver searchen)
http://nl2.php.net/mcrypt


Waarschijnlijk willen ze een hash toevoegen zodat niemand het itemCode handmatig kan veranderen om te zien wat er nog meer op die server aanwezig is. md5 wordt nog vaak als hashing algoritme gebruikt, en output standaard ook een base64 encoded string. Wellicht bedoelen ze dat?
Dan moet je alleen wel weten welke secret dat ze willen dat je aan itemCode toevoegd, en hoe/waar. Aan een timestamp heb je dan niets.
PHP:
1

$hash = md5($itemCode . $secret);

Iemand die $secret niet weet kan nooit de juiste hash meesturen, en de server kan eenvoudig controleren of de gegeven hash bij de gegeven itemCode hoort.

[ Voor 11% gewijzigd door frickY op 12-12-2010 21:02 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq