Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> Bezpieczeństwo systemu logowania
1oBuZ
post 2.07.2009, 16:58:12
Post #1





Grupa: Zarejestrowani
Postów: 101
Pomógł: 1
Dołączył: 11.11.2008
Skąd: Kalisz

Ostrzeżenie: (10%)
X----

Witam!

Drodzy użytkownicy proszę o poradę:

- jakie sposoby autoryzacji są najbezpieczniejsze?

- czy system logowania oparty na sesjach (z bazą danych w mysql) jest wpełni bezpieczny [przy założeniu, że jest poprawnie napisany] ?



Jeżeli posiadacie jakieś autorskie "elementy zabezpieczeń", pomysły lub linki które przyczynią się do poprawy bezpieczeństwa systemu logowania to bardzo proszę o ich przedstawienie.

Z góry dziękuję i pozdawiam!

Ten post edytował 1oBuZ 2.07.2009, 17:05:08


--------------------
W poszukiwaniu rozwiązania problemu, najbardziej pomocna jest znajomość odpowiedzi.

Dla komputera nie ma rzeczy niemożliwych z wyjątkiem tych, których od niego wymagamy.

Liczba osób w zespole programistycznym ma tendencje wzrastające, niezależnie od ilości pracy.
Go to the top of the page
+Quote Post
MrDaniel
post 2.07.2009, 17:13:00
Post #2





Grupa: Zarejestrowani
Postów: 16
Pomógł: 0
Dołączył: 25.06.2009

Ostrzeżenie: (0%)
-----

Tu masz artykuł o sesjach http://wortal.php.pl/wortal/artykuly/bezpi...zenia_i_ochrona
Go to the top of the page
+Quote Post
em1X
post 2.07.2009, 18:02:38
Post #3





Grupa: Zarejestrowani
Postów: 984
Pomógł: 41
Dołączył: 16.03.2002
Skąd: Płock

Ostrzeżenie: (0%)
-----

1) nie ma systemów w 100% bezpiecznych
2) dobrze napisany system jest dość bezpieczny

Nie przesyłać danych czystym tekstem. Wysyłać przez HTTPS bądź zakodowane.


--------------------
eh, co polska wódka to polska wódka
Go to the top of the page
+Quote Post
1oBuZ
post 2.07.2009, 19:20:53
Post #4





Grupa: Zarejestrowani
Postów: 101
Pomógł: 1
Dołączył: 11.11.2008
Skąd: Kalisz

Ostrzeżenie: (10%)
X----

Okej dzięki, a co myślicie o

- kodach bezpieczeństwa

- kontorolowaniu sesji i jej logowaniu

- zastosowaniu ciasteczek wraz z sesjami ?


--------------------
W poszukiwaniu rozwiązania problemu, najbardziej pomocna jest znajomość odpowiedzi.

Dla komputera nie ma rzeczy niemożliwych z wyjątkiem tych, których od niego wymagamy.

Liczba osób w zespole programistycznym ma tendencje wzrastające, niezależnie od ilości pracy.
Go to the top of the page
+Quote Post
cojack
post 2.07.2009, 19:44:31
Post #5





Grupa: Zarejestrowani
Postów: 898
Pomógł: 80
Dołączył: 31.05.2008

Ostrzeżenie: (20%)
X----

Na moim blogu masz przykład klasy sesji z trzymaniem jej w bazie danych, doszedłem do wniosku że nie ma sensu trzymanie sessji w bazie danych. Kiedyś napiszę lepszą. Ciasteczka? A po co to komu? Każda sesja jest wywoływana dla osobnego użytkownika i jej czas życia ustawiasz Ty, reload strony update czasu życia, lub też i nie, np u mnie sessja trwa 1h max, po tym czasie wyloguje Cie z strony i musisz logować się jeszcze raz. Jak się pchasz w ciasteczka możesz się narazić na ataki, chyba że nieźle mixujesz sid dla ciasteczek, tak jak np ja: ip + user_agent + data utworzenia + id usera + session_id podczas utworzenia. Weź mi to przemixuj do ciasteczka i spróbuj to podmienić na właściwe. Kontrola sessji warunkowa.Kody bezpieczeństwa? Co Ty aplikacje bankową piszesz? Może jeszcze zacznijmy od logowania na pgkeyach?


--------------------
cojack blog - mój blog (na jakiś czas off).
"jak czegoś nie wiem, to nie myślę że wiem" - moja domena
Go to the top of the page
+Quote Post
1oBuZ
post 2.07.2009, 20:33:31
Post #6





Grupa: Zarejestrowani
Postów: 101
Pomógł: 1
Dołączył: 11.11.2008
Skąd: Kalisz

Ostrzeżenie: (10%)
X----

Chciałbym napisać coś w stylu zdalnego panelu do zarządzania linuxem (maszyną fizyczną).

Dlatego kwestię bezpieczeństwa stawiam na 1 miejscu.

Co do ciasteczek- ciekawy sposób.



Dziękuję za podpowiedź


--------------------
W poszukiwaniu rozwiązania problemu, najbardziej pomocna jest znajomość odpowiedzi.

Dla komputera nie ma rzeczy niemożliwych z wyjątkiem tych, których od niego wymagamy.

Liczba osób w zespole programistycznym ma tendencje wzrastające, niezależnie od ilości pracy.
Go to the top of the page
+Quote Post
bełdzio
post 2.07.2009, 20:51:47
Post #7





Grupa: Zarejestrowani
Postów: 690
Pomógł: 81
Dołączył: 6.04.2005
Skąd: Szczecin

Ostrzeżenie: (0%)
-----

http://www.beldzio.com/kategoria/bezpieczenstwo/logowanie


--------------------
Let's Rock! - Agencja interaktywna dla wymagających

O tworzeniu (bezpiecznych) aplikacji internetowych
Go to the top of the page
+Quote Post
1oBuZ
post 2.07.2009, 20:54:02
Post #8





Grupa: Zarejestrowani
Postów: 101
Pomógł: 1
Dołączył: 11.11.2008
Skąd: Kalisz

Ostrzeżenie: (10%)
X----

Cytat(bełdzio @ 2.07.2009, 21:51:47 ) *
http://www.beldzio.com/kategoria/bezpieczenstwo/logowanie

Polecam!

(niestety artykuły raczej dla osób raczkujących w tematyce PHP)

Ten post edytował 1oBuZ 2.07.2009, 20:56:53


--------------------
W poszukiwaniu rozwiązania problemu, najbardziej pomocna jest znajomość odpowiedzi.

Dla komputera nie ma rzeczy niemożliwych z wyjątkiem tych, których od niego wymagamy.

Liczba osób w zespole programistycznym ma tendencje wzrastające, niezależnie od ilości pracy.
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 22.06.2025 - 03:42
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn