Czy takie uwierzytelnianie będzie bezpieczne? |
Czy takie uwierzytelnianie będzie bezpieczne? |
27.01.2008, 20:42:26
Post
#1
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 18.09.2007 Ostrzeżenie: (0%) |
Witam. Tworzę właśnie prosty cms z panelem administracyjnym. Znalazłem w internecie pewnie sposób uwierzytelniania i przerobiłem go na własną potrzebę. Czy takie coś będzie bezpieczne?
Plik ten includuję we wszystkich plikach panelu administracyjnego. Czy taka metoda uwierzytelniania będzie bezpieczna? |
|
|
27.01.2008, 20:48:47
Post
#2
|
|
Grupa: Zarejestrowani Postów: 749 Pomógł: 37 Dołączył: 3.10.2006 Ostrzeżenie: (0%) |
a co to przepraszam bardzo:
ma związanego z tym:
-------------------- |
|
|
27.01.2008, 20:51:03
Post
#3
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 18.09.2007 Ostrzeżenie: (0%) |
Przeanalizuj dokładnie to będziesz wiedzieć...
|
|
|
27.01.2008, 20:53:52
Post
#4
|
|
Grupa: Zarejestrowani Postów: 749 Pomógł: 37 Dołączył: 3.10.2006 Ostrzeżenie: (0%) |
a rzeczywiście... Wybacz... To chyba godzina... Ostatnio nie śpię zbyt dużo...
Mam pytanie... Jak wrzucasz dane z logowania do $_SERVER? -------------------- |
|
|
27.01.2008, 20:56:06
Post
#5
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 18.09.2007 Ostrzeżenie: (0%) |
a rzeczywiście... Wybacz... To chyba godzina... Ostatnio nie śpię zbyt dużo... Mam pytanie... Jak wrzucasz dane z logowania do $_SERVER? Pytaj mnie a ja Ciebie Sam nie wiem jak to się odbywa bo orłem z php nie jestem, ale wiem, że to działa. Chcę się tylko dowiedzieć czy w tym uwierzytelnianiu nie ma jakiejś luki. Wiem tylko, że przy próbie dostępu do danego pliku wyskakuje okienko w którym podaje się login i hasło. Ten post edytował MGreg 27.01.2008, 21:26:24 |
|
|
27.01.2008, 21:35:09
Post
#6
|
|
Grupa: Zarejestrowani Postów: 73 Pomógł: 2 Dołączył: 1.10.2003 Ostrzeżenie: (0%) |
Z mojej strony zaproponuje Ci zrobienie logowania wykorzystujac do tego sesje.
Artykulow o tym w internecie masz baaardzo duzo. |
|
|
28.01.2008, 07:03:39
Post
#7
|
|
Grupa: Zarejestrowani Postów: 439 Pomógł: 21 Dołączył: 28.06.2007 Skąd: Bielsko-Biała Ostrzeżenie: (0%) |
Cytat Z mojej strony zaproponuje Ci zrobienie logowania wykorzystujac do tego sesje. tym bardziej ze jest bardzo duzo przykladkow bardzo dobrze sprawdzonych i i dobrze prosperujacych w wielu servisach:)
Artykulow o tym w internecie masz baaardzo duzo. -------------------- "Na przykład zmiennej $jestem_najlepszy przypisujemy wartość logiczną TRUE"
Ja: użyj funkcji[...] Grins: mów normalnie do mnie a nie po polsku Ja: normalnie to znaczy jak? Grins: No w PHP... inaczej mój parser ledwo kuma:) |
|
|
28.01.2008, 16:43:01
Post
#8
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 18.09.2007 Ostrzeżenie: (0%) |
Pragnę zaznaczyć, że pytałem o bezpieczeństwo uwierzytelniania, którego kod podałem. To, że popularne jest uwierzytelnianie przez sesje jest dla mnie wiadome, lecz mi zależy na prostej, bezpiecznej metodzie uwierzytelniania dla Panelu Administracyjnego. Tak więc oczekuję, by ktoś przeanalizował mój kod i dał jasną odpowiedź - bezpieczne albo nie. Jeśli nie to dopiero zajmę się waszym sposobem.
|
|
|
28.01.2008, 21:17:21
Post
#9
|
|
Grupa: Przyjaciele php.pl Postów: 2 335 Pomógł: 6 Dołączył: 7.03.2002 Ostrzeżenie: (0%) |
Jest bezpieczne ale:
1) przed polaczeniem sie do bazy i pobranie danych sprawdzil bym czy w ogole jest po co je pobierac - isset($_SERVER['PHP_AUTH_USER']). 2) Sadze tez ze nie potrzeba pobierac wszystkch uzytkownikow po to aby sprawdzic czy istnieje jeden z poprawnym haslem - wyczyscil bym zmienna z loginem uzytkownika od danych ktore moga nabrudzic w zapytaniu SQL i zmdpiątkował ( ) haslo, a potem wrzucil to do zapytania. 3) Do tego brakuje mi blokady ilosci niepoprawnych logowan - po 3ech blednych probach logowania ban dla IP na 30 minut. Zapobiegnie to atakom slownikowym i bruteforce. |
|
|
28.01.2008, 22:04:34
Post
#10
|
|
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 18.09.2007 Ostrzeżenie: (0%) |
No i taka odpowiedź mnie satysfakcjonuje punkcik pomógł dla Ciebie. A nie pobierani są wszyscy użytkownicy tylko jeden - administrator Może to i dziwne rozwiązanie by robić osobną tabelę na jednego użytkownika - admina ale nic innego mi do głowy nie przychodziło.
|
|
|
28.01.2008, 22:21:42
Post
#11
|
|
Grupa: Przyjaciele php.pl Postów: 2 335 Pomógł: 6 Dołączył: 7.03.2002 Ostrzeżenie: (0%) |
Dzieki
No to na sztywno wrzuc do jakiegos pliku php juz gotowa tablice - nie bedziesz musial laczyc sie z baza. |
|
|
29.01.2008, 20:37:14
Post
#12
|
|
Grupa: Zarejestrowani Postów: 33 Pomógł: 1 Dołączył: 8.01.2005 Ostrzeżenie: (0%) |
|
|
|
Wersja Lo-Fi | Aktualny czas: 30.05.2024 - 17:49 |