Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Ogólne bezpieczeństwo w PHP
Niktoś
post
Post #1





Grupa: Zarejestrowani
Postów: 1 195
Pomógł: 109
Dołączył: 3.11.2011

Ostrzeżenie: (10%)
X----


Obserwując ten język programowania nie wiem za bardzo co myśleć o bezpieczeństwie a dokładnie o metodach autoryzacji i uwierzytelniania.Z moich obserwacji wynika ,że są dwie:
1.Oparty o bazy danych
2.Oparty o zewnętrzny serwis np. KADM5.
W asp.net mamy:
1.Oparty o bazy danych
2.Oparty o aplikacje asp.net
3.Oparty o serwer IIS.
4.Oparty o zewnętrzny serwis.

Na tej stronie są ogólnikowo wymienione wszystkie metody uwierzytelnienia..

Czy nie jest to zbyt skromne,jeśli chodzi o PHP?Jak by wyglądało uwierzytelnienie w sieci intranetowej w PHP?Baza danych +IP,które jest zawodne,gdyż co jeśli cała sieć będzie na ADSL?Czy te dwa wymienione uwierzytelnienia w PHP są dla was wystarczające?Czemu Apache nie ma własnego systemu uwierzytelniania tj.w IIS?Dużo pytań,ale może ktoś rozwieje moję wątpliwości bo na razie uważam,że PHP biednie wygląda jeśli chodzi o metody uwierzytelniania.

Ten post edytował Niktoś 18.03.2012, 21:16:33
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
Niktoś
post
Post #2





Grupa: Zarejestrowani
Postów: 1 195
Pomógł: 109
Dołączył: 3.11.2011

Ostrzeżenie: (10%)
X----


Do założenia tego tematu zainspirował mnie ten temat:
Temat: Ponowne uwierzytelnianie i obrona przed CSRF
Raczej nikt nie potrafił odpowiedzieć.O tych modach Apache, nie wiedziałem.
Cytat
No i na koniec, nie bardzo rozumiem co do tego wszystkiego ma bezpieczeństwo?

Tak jak mówiłem, obserwując forum widziałem tylko że użytkownicy opierają się tylko o bazę danych.Czemu mało kto używa tych modów dla dodatkowej weryfikacji?
Jeśli chodzi o bezpieczeństwo u siebie mam oprócz sql'wej autoryzacji jeszcze Form-Based Authentication więc mogłoby nawet nie być tej sql'owej autoryzacji.Do czego dążę, jeśli ktoś mi shakuje baze danych(sql injection itp) to drugi próg autoryzacji i tak nie zezwoli na zautoryzowanie i dostęp do zasobów ,czy strony.Czy nie jest to bezpieczniejsze?
Cytat
Z jednej strony bierzesz język raczej ograniczony do określonego środowiska i mocno zintegrowany z nim, a jako kontrę dajesz dość "luźny" język.

Przyznam ,że C#.Net + IIS+MSSQL + są ze sobą bardzo mocno zintegrowane-ale czy to nie jest zaletą?Fakt może z racji tego, już samo uwierzytelnianie jak NTLM ze względu na wieloplatformowość w PHP nie ma racji bytu.
Thek-zrozumiałem twoje przesłanie i w pełni się z nim zgadzam.

Ten post edytował Niktoś 18.03.2012, 22:51:11
Go to the top of the page
+Quote Post
darko
post
Post #3





Grupa: Zarejestrowani
Postów: 2 885
Pomógł: 463
Dołączył: 3.10.2009
Skąd: Wrocław

Ostrzeżenie: (0%)
-----


Cytat(Niktoś @ 18.03.2012, 22:11:38 ) *
Do czego dążę, jeśli ktoś mi shakuje baze danych(sql injection itp) to drugi próg autoryzacji i tak nie zezwoli na zautoryzowanie i dostęp do zasobów ,czy strony.Czy nie jest to bezpieczniejsze?

Jeśli ktoś "shakuje" Ci bazę, a tym samym przejdzie pomyślnie proces identyfikacji i uwierzytelnienia, np., podając wyciągnięty z bazy prawdziwy logina admina, to żaden, nawet najlepszy mechanizm czy metoda uwierzytelniania na nic się nie zda. Poza tym w c# są sposoby na zminimalizowanie praktycznie do zera szans na skuteczne przeprowadzenie sql injection (nie znam dokładniej tematu, nie siedzę w bajce pod tytułem dot net, dlatego wrzucę ten link: http://msdn.microsoft.com/en-us/library/ff648339.aspx
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 5.10.2025 - 17:59