Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> systemu zabezpieczeń
Gniewomir
post
Post #1





Grupa: Zarejestrowani
Postów: 6
Pomógł: 0
Dołączył: 10.10.2006
Skąd: Kraków

Ostrzeżenie: (0%)
-----


Jak oceniacie skuteczność nastepującego systemu zabezpieczeń:

1. Hasło w bazie kodowane poprzez MD5

2. Podczas logowania strona tworzy dwa cookies i umieszcza w sesji informację o uprawnieniach użytkownika(uprawnienia w bazie):
a. user_name //no comment
b. hash // nazwa użytkownika zmiksowana przez MD5 z tajnym, przypadkowym ciągiem znaków. (pozostający powyżej drzewa katalogów strony)

3. Strona weryfikuje wyświetlanie linków przeznaczonych dla admina/moderatora/użytkownika w zależności od uprawnień zapisanych w sesji.

4. A uprawnienia do działania, jak dostęp do panelu administracyjnego, usunięcie/modyfikacja posta na forum są kontrolowane na podstawie uprawnień z sesji i sprawdzenia czy cookies są prawidłowe.

Efektem tego haker aby się włamać musi poznać użyty przypadkowy ciąg znaków aby ustawić właściwe cookies i przechwycić sesję. Pytanie brzmi czy to wystarczy by zniechęcić i czy widzicie lepszy sposób?

ps. oczywiście zakładam że sama baza jest dobrze zabezpieczona przed iniekcją.

Zmiana:

Nazwa użytkownika również przechowywana w sesji.

Ten post edytował Gniewomir 26.10.2006, 15:50:00
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004




wydzielam. Topic o bezpieczenstwie skryptów, raczej ku innym celom byl przeznaczony
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 13.10.2025 - 06:12