systemu zabezpieczeń Opcje

[Gniewomir]

Jak oceniacie skuteczność nastepującego systemu zabezpieczeń:

1. Hasło w bazie kodowane poprzez MD5

2. Podczas logowania strona tworzy dwa cookies i umieszcza w sesji informację o uprawnieniach użytkownika(uprawnienia w bazie):
a. user_name //no comment
b. hash // nazwa użytkownika zmiksowana przez MD5 z tajnym, przypadkowym ciągiem znaków. (pozostający powyżej drzewa katalogów strony)

3. Strona weryfikuje wyświetlanie linków przeznaczonych dla admina/moderatora/użytkownika w zależności od uprawnień zapisanych w sesji.

4. A uprawnienia do działania, jak dostęp do panelu administracyjnego, usunięcie/modyfikacja posta na forum są kontrolowane na podstawie uprawnień z sesji i sprawdzenia czy cookies są prawidłowe.

Efektem tego haker aby się włamać musi poznać użyty przypadkowy ciąg znaków aby ustawić właściwe cookies i przechwycić sesję. Pytanie brzmi czy to wystarczy by zniechęcić i czy widzicie lepszy sposób?

ps. oczywiście zakładam że sama baza jest dobrze zabezpieczona przed iniekcją.

Zmiana:

Nazwa użytkownika również przechowywana w sesji.

Ten post edytował Gniewomir 26.10.2006, 15:50:00

[My4tic]

Jak oceniacie skuteczność nastepującego systemu zabezpieczeń:
b. hash // nazwa użytkownika zmiksowana przez MD5 z tajnym, przypadkowym ciągiem znaków. (pozostający powyżej drzewa katalogów strony)

Mogłbyś to troche rozwinąć? Jakim 'przypadkowym' ciągiem znaków? Jeżeli wygenerujesz coś 'losowego' to jak masz zamiar porównać później dwa hasze? Będziesz musiał przechowywać gdzieś jawną wersje tego 'losowego' ciągu. Jeśli tak - to gdzie masz zamiar to trzymać?

[Gniewomir]

Ciąg losowy ale stały dla całej witryny. np '3sNU57gC89&%^&80989%^&%&'

A trzymany w dołączanym pliku powyżej katalogu wskazywanego przez domenę.

Katalog dostepny z zewnątrz: C:\usr\krasnal\www\filozofia
Katalog niedostępny z zewnątrz, acz dostępny dla inkludujących skryptów: C:\hash

Ten post edytował Gniewomir 2.11.2006, 12:19:27