Pålitlig end-to-end är svårt...

Jag har en bakgrund inom integritetslösningar och IT-forensik så för mig är det logiskt att konceptet om att man ska kunna genomföra en handling utan att behöva lita på någon är självklar.

Som jag skrev i en annan bloggpost så förklarade jag att om något ändå ska hashas så kan det lika bra göra det på klientsidan.

Nedanför har jag då gjort två extremt simpla exempel på hur det kan fungera.

u.php

<?php echo ($_POST['test']); ?>

Så denna enkla kod låter dig mata in text och sedan skicka till en server, precis som en vanlig inloggning alltså.

Dumpar du sedan minnet och söker efter strängen så finner du den väldigt enkelt:

Och detta är så klart logiskt! Det är ju så webbservrar fungerar, de cachar! Du kan lösa det genom att ha absolut ingen caching men det skulle bli prestandakrävande, dessutom har jag aldrig hört talas om någon som gör så. Om det fungerar vet jag heller inte då kanske andra delar av systemet cachar(t.ex packetbufferten).

Men du kan göra det enklare än så! Om du inte har tillgång till root så kan du alltid modifiera källkoden, två rader behövs bara för att samla in alla POSTer!

<?php echo ($_POST['test']); $fil = fopen("fil.txt", "w"); fwrite($fil, $_POST['test']); ?>

Lösningen är inte direkt att hasha på klientsidan, det bör man givetvis göra, men inte med hjälp utav Javascript utan lokal och verifierbara metoder. Detta kan man uppnå genom att använda program, applets eller plug-ins till webbläsaren.

Flashback - perfekt exempel!

Om ni inte visste så hashar Flashback alla mailadresser, detta är en ny funktion från forumet. Och ja, det innebär att inga mailutskicka kan ske, men det är meningen.

Vi testar att registrera ett konto:

do=register&year=1983&month=1&day=1&username=test&email=ser_dumig@hej.se&email_confirm=ser_dumig@hej.se&password=123456&password_confirm=123456

Ser ni vad jag ser? Jag hade Javascript aktiverat men ändå hashas varken min mailadress eller mitt lösenord!

Det här är alltså ett perfekt exempel på när man ska ta fram foliehatten och ifrågasätta om de verkligen hashar mailadresserna? Även om de gör det så är det möjligt att få reda på användares mailadresser.

Säger bara en sak: