systemu zabezpieczeń Opcje

[Gniewomir]

Jak oceniacie skuteczność nastepującego systemu zabezpieczeń:

1. Hasło w bazie kodowane poprzez MD5

2. Podczas logowania strona tworzy dwa cookies i umieszcza w sesji informację o uprawnieniach użytkownika(uprawnienia w bazie):
a. user_name //no comment
b. hash // nazwa użytkownika zmiksowana przez MD5 z tajnym, przypadkowym ciągiem znaków. (pozostający powyżej drzewa katalogów strony)

3. Strona weryfikuje wyświetlanie linków przeznaczonych dla admina/moderatora/użytkownika w zależności od uprawnień zapisanych w sesji.

4. A uprawnienia do działania, jak dostęp do panelu administracyjnego, usunięcie/modyfikacja posta na forum są kontrolowane na podstawie uprawnień z sesji i sprawdzenia czy cookies są prawidłowe.

Efektem tego haker aby się włamać musi poznać użyty przypadkowy ciąg znaków aby ustawić właściwe cookies i przechwycić sesję. Pytanie brzmi czy to wystarczy by zniechęcić i czy widzicie lepszy sposób?

ps. oczywiście zakładam że sama baza jest dobrze zabezpieczona przed iniekcją.

Zmiana:

Nazwa użytkownika również przechowywana w sesji.

Ten post edytował Gniewomir 26.10.2006, 15:50:00

[thornag]

Ja bym mzienil algorytm szyfrujacy z MD5 na SHA1 jak czytalem nie pamietam gdzie MD5 zostal zlamany !?!


--add:

dzieki nospor za info (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował thornag 2.11.2006, 11:43:54