logowanie nie do złamania ;-)

logowanie nie do złamania ;-)

michalkkk Zobacz profil	8.12.2004, 22:16:27 Post #1
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 13.10.2004 Ostrzeżenie: (0%)	Witam. Ostatanio zastanawiam sie nad stworzeniem bezpiecznego formularza logowania(bez wykorzystania ssl poniewaz trzeba kupowac certyfikaty aby nie pojawiały sie ostrzeżenia przegladarek). Pomimo tytułu uważam że skrypt jest do zlamania(tak myśle, nie próbowałem), ale chciałem poznać Wasze rady, wskazówki. Może z Waszą pomocą uda mi(nam) się napisać w miarę bezpieczny formularz logowania-taki szablon ktory bedzie kazdy mogl zastosowac u siebie. Starałem się wykorzystac Wasze wskazówki, które pisaliście w innych postach. Wykorzystałem chyba troche rzadko stosowana metode z szyfrowaniem(md5-http://pajhome.org.uk/crypt/md5) niektorych przesyłanych danych w javascript po stronie klienta. Cały czas myśle co by mozna jeszcze udoskonalić, także licze na Waszą pomoc. Z góry dzięki. Chce jak najbardziej utrudnić możliwość zalogowania przez podsłuchanie danych(brak ssl), dlatego szyfruje ip,referer,idsesji. Moze np. odczytac za pomoca JavaScript(aby nie przesyłać danych z serwera do klienta) wersje przegladarki, zaszyfrowac md5(w js) a potem odczytac za pomoca php(ale chyba przy odczycie wersji przez php tez jest przesyłana informacja) i porównac. Nie znam sie za bardzo na tym, ale czy mozna zasymulowac lub podstawić id sesji aby oszukac skrypt? Ip,referer chyba tak. Sciezka do pliku powinna byc taka jak wpisana w poniższym pliku(oczywiscie trzeba wpisac wlasny adres)-http://jakasstrona.pl/log.php [PHP] pobierz, plaintext <? $ip=gethostbyaddr(getenv (\"REMOTE_ADDR\")); $ref=$_SERVER['HTTP_REFERER']; $ua=$_SERVER['HTTP_USER_AGENT']; $zak_ip=md5($ip); $zak_ref=md5($ref); $zak_ua=md5($ua); session_start(); session_register(\"ses_losowa\"); session_register(\"nie_zmieniaj_losowej\"); if ($_SESSION['nie_zmieniaj_losowej']!='tak') { $losowa=mt_rand(); //losuje kilkucyfrowa liczbe $_SESSION['ses_losowa']=$losowa; } $_SESSION['nie_zmieniaj_losowej']='tak'; //po kliknieciu w przycisk Loguj nastepuje //wywolanie funkcji w javascript md5 - po stronie uzytkownika, //która zestepuje wpisane przez uzytkownika haslo w zakodowany md5 ciag znaków //do hasla przed zakodowaniem w javascript dodawane sa dodatkowe zmienne //i to wszystko razem jest kodowane md5(w javascript) i wysylane do serwera //niezaszyfrowane haslo nie jest wysyłane ?> <script src=\"md5.js\" type=\"text/javascript\"></script> <FORM METHOD=POST> Login: <input type=\"text\" name=\"login\" value=\"\"> Haslo: <input type=\"text\" name=\"_haslo\" value=\"\"> <input type=\"hidden\" name=\"se\" value=\"<?echo session_id();?>\"> <input type=\"hidden\" name=\"haslo\" value=\"\"> <input type=\"submit\" value=\"LOGUJ\" onclick=\"haslo.value = hex_md5(_haslo.value+'<?echo $zak_ip.$zak_ref.$_SESSION['ses_losowa'].$zak_ua?>'); _haslo.value = ''\"> </FORM> <? //////poprawny login i haslo(normalnie bedzie odczytywane z bazy danych) $poprawny_login='michal'; $poprawne_haslo='test123'; //////poprawny login i haslo(normalnie bedzie odczytywane z bazy danych) /////sprawdzanie czy poprawne dane if ($_POST['login'] \|\| $_POST['haslo']) { $kod_poprawny=md5($poprawne_haslo.md5($ip).md5($ref).$_SESSION['ses_losowa'].md5($ua)); if ($_POST['haslo']==$kod_poprawny && $_SERVER[\"HTTP_REFERER\"]=='http://jakasstrona.pl/log.php' && $_POST['se']==session_id()) { echo 'Zostales zalogowany!'; } else { echo 'Niepoprawne dane'; exit; } } /////sprawdzanie czy poprawne dane ?> [PHP] pobierz, plaintext

Odpowiedzi

bregovic Zobacz profil	11.12.2004, 21:33:38 Post #2
Grupa: Zarejestrowani Postów: 562 Pomógł: 15 Dołączył: 8.08.2003 Skąd: Denmark/Odense Ostrzeżenie: (0%)	Szyfrowanie po stronie przeglądarki jest potrzebne - żeby zaciemnić hasło i dane które razem z nim wysyłamy jako klucz. Wysyłamy zahaszowane wartości jak najbliższe pełnoprawnemu userowi, jak HTTP_USER_AGENT. Dodatkowo w jakimś polu hidden wysyłamy randomową liczbę oznaczającą jakiś string na serwerze (np id pola w tabeli mysql) który doklejamy do hasza - to jesteśmy w domu. Czyli konkludując wracamy do tego co michalkkk napisał w swoim pierwszym poście. --- EDIT --- Speedy, próbowałe kiedykolwiek włączyć jakikolwiek sniffer w sieci lokalnej? To na prawde powiększa perspektywę znaczenia słowa 'bezpieczeństwo'... Ten post edytował bregovic 11.12.2004, 21:35:55

Posty w temacie

michalkkk logowanie nie do złamania ;-) 8.12.2004, 22:16:27

Speedy Wg mnie hasła, niezależnie od tego czy znajdują si... 11.12.2004, 16:18:03

bregovic Generalnie haszowanie hasła przed wysłaniem go dna... 11.12.2004, 17:09:28

Speedy Wystarczy nieco przerobić ten skrypt i można w ogó... 11.12.2004, 18:32:19

dooshek Cytat(bregovic @ 2004-12-11 18:09:28)Generaln... 11.12.2004, 18:52:40

Speedy Cytat(dooshek @ 2004-12-11 17:52:40)Cytat(bre... 11.12.2004, 19:29:48

bregovic Szyfrowanie po stronie przeglądarki jest potrzebne... 11.12.2004, 21:33:38

michalkkk Dziekuje za Wasze wskazówki, jeszcze troche postar... 11.12.2004, 22:09:32

hawk Tak sobie czytam i zastanawiam się, co rozumiecie ... 11.12.2004, 22:58:37

Imperior @hawk: No cóż... tutaj jest przedstawiony sposób n... 12.12.2004, 10:31:17

Jabol A pozatym co za problem, jeżeli przechwyce hasło z... 12.12.2004, 15:09:05

hawk @Imperior: bezpieczeństwo logowania samo w sobie j... 12.12.2004, 17:05:32

Imperior @hawk: Doskonale zdaję sobie z tego sprawę. Dręczy... 12.12.2004, 20:28:26

hawk BTW, SSL != bezpieczeństwo sesji. Użycie SSL n... 13.12.2004, 09:24:57

Imperior Rzecz jasna, że SSL nie załatwia sprawy, ale chyba... 13.12.2004, 17:30:49

dooshek Cytat(Speedy @ 2004-12-11 20:29:48)W moim pom... 13.12.2004, 18:29:31

Jabol @hawk: tak, mówię o zwykłym man-in-the-middle dla ... 13.12.2004, 20:34:44

hawk @Jabol: AFAIK problem z man-in-the-middle był taki... 14.12.2004, 09:12:24

Imperior Cytat(hawk @ 2004-12-14 08:12:24)Podobno w Es... 14.12.2004, 10:09:24

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl