 systemu zabezpieczeń |
| systemu zabezpieczeń |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 6 Pomógł: 0 Dołączył: 10.10.2006 Skąd: Kraków Ostrzeżenie: (0%) 
 |
Jak oceniacie skuteczność nastepującego systemu zabezpieczeń:
1. Hasło w bazie kodowane poprzez MD5 2. Podczas logowania strona tworzy dwa cookies i umieszcza w sesji informację o uprawnieniach użytkownika(uprawnienia w bazie): a. user_name //no comment b. hash // nazwa użytkownika zmiksowana przez MD5 z tajnym, przypadkowym ciągiem znaków. (pozostający powyżej drzewa katalogów strony) 3. Strona weryfikuje wyświetlanie linków przeznaczonych dla admina/moderatora/użytkownika w zależności od uprawnień zapisanych w sesji. 4. A uprawnienia do działania, jak dostęp do panelu administracyjnego, usunięcie/modyfikacja posta na forum są kontrolowane na podstawie uprawnień z sesji i sprawdzenia czy cookies są prawidłowe. Efektem tego haker aby się włamać musi poznać użyty przypadkowy ciąg znaków aby ustawić właściwe cookies i przechwycić sesję. Pytanie brzmi czy to wystarczy by zniechęcić i czy widzicie lepszy sposób? ps. oczywiście zakładam że sama baza jest dobrze zabezpieczona przed iniekcją. Zmiana: Nazwa użytkownika również przechowywana w sesji. Ten post edytował Gniewomir 26.10.2006, 15:50:00 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004 |
wydzielam. Topic o bezpieczenstwie skryptów, raczej ku innym celom byl przeznaczony
|
|
|
|
Gniewomir systemu zabezpieczeń 2.11.2006, 10:58:59 
thornag Ja bym mzienil algorytm szyfrujacy z MD5 na SHA1 j... 2.11.2006, 11:10:18 nospor Cytatjak czytalem nie pamietam gdzie MD5 zostal zl... 2.11.2006, 11:16:32 My4tic Cytat(Gniewomir @ 2.11.2006, 10:58:59... 2.11.2006, 12:01:08 
Gniewomir Ciąg losowy ale stały dla całej wit... 2.11.2006, 12:14:11 dr_bonzo Pisal ze "przypadkowym ciągiem znaków. (pozos... 2.11.2006, 12:14:26  |
|
Aktualny czas: 13.10.2025 - 06:12 |
