[php] zabezpieczenie strony Opcje

[marcinek37]

witam,

1. zabezpieczyłem system wg wskazówek zawartych na stronach:
- http://php.pl/Wortal/Artykuly/Bezpieczenst...wa-skryptow-PHP
- http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php
oczywiście w internecie są setki podobnych artykułów, jednak nie wnoszą niczego nowego do dyskusji o bezpieczeństwie
czy informacje zawarte w nich są wystarczające? czy mam na coś innego zwrócić uwagę?

2. moje logowanie wygląda tak, że podaję login i hasło, system sprawdza, czy owy login jest w bazie, jeśli jest, to sprawdza, czy podane hasło po przejściu przez md5 jest zgodne z tym z bazy danych
jeśli jest powstają dwie sesje, w jednej podany jest numer ID użytkownika, a w drugiej znajduje się hasło po przejściu po funkcji md5

następnie po każdym odświeżeniu strony, system wie, że mam te dwie sesje, ale i tak je sprawdza, czy użytkownik o ID z sesji ma w bazie takie samo hasło jak te z sesji

czy to bezpieczne? czy może warto coś z tym zrobić?

[nospor]

1) Nie dwie sesje, a dwie wartości w jednej sesji.
2) Nie używaj md5 bo to już od dawna nie jest żadnym zabezpieczeniem
3) Nie widzę sensu za każdym razem sprawdzania danych sesji w tym co w bazie.

[marcinek37]

1. racja
2. załóżmy, że hasło administratora to QWERTYUIOP - i tak to hasło mam mieć zapisane w bazie danych? czy zakodowanie md5 nie daje już kompletnie nic? zatem jakich innych zabezpieczeń mam użyć?
3. to tylko dodatkowe zabezpieczenie, które raczej nie obciąża zbytnio serwera

[nospor]

ad2) Była o tym mowa wiele razy. Jest nawet przypiety temat:
http://forum.php.pl/index.php?showtopic=44...t=0&start=0

ad3) No tak, bez sensowne latanie po bazie za każdym razem dla 10 userow moze i nie jest mulaste, ale dla większej ilości...

[Sephirus]

Jak zwykle zgadzam się z przedmówcą

Co do pkt. 2. polecam PHPass

Jeśli chodzi o pkt. 3. to samo sprawdzanie zalogowania powinieneś sprawdzać tylko po tym czy w sesji jest informacja o zalogowaniu usera. Innymi słowy jeśli masz zalogowanego gościa to przechowujesz w sesji pod kluczem na przykład "user_id" id zalogowanego użytkownika. Jeśli taki klucz istnieje - ktoś jest zalogowany (ten którego ID jest pod tym kluczem). Trzymanie id i hasła w sesji nie dość, że jest zbędne to zupełnie nie wnosi nic nowego. Jedyna ogólna opcja aby się dostać do czyjegoś konta to poznać ID sesji tego użytkownika i ustawić odpowiednie ciasteczko - przed tym powinieneś się bronić. Jak? Możesz na przykład w sesji, po zalogowaniu zapisać dane na temat IP, User-Agent gościa. Sprawdzając czy jest ktoś zalogowany wtedy sprawdzasz czy istnieje w sesji pole z ID zalogowanego użytkownika i jeśli tak to dodatkowo sprawdzasz czy w drugiej zmiennej sesyjnej, gdzie przechowujesz info o user-agent i/lub IP, są poprawne dla aktualnie sprawdzanego użytkownika dane.

Wydaje mi się, że tyle starczy na start

[marcinek37]

2. możesz po krótce powiedzieć, jak działa PHPass?

3. czyli ktoś się loguje, ja sprawdzam czy dane się zgadzają, jeśli tak, wykonuję taki kod:

[PHP] pobierz, plaintext 
<?
$_SESSION['user_id'] = $r['id']; // wiadomo, powyżej powinno być zapytanie, nie podaję go, aby było szybciej
$_SESSION['user_agent'] = $_SERVER['HTTP_USER_AGENT'];
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
?>
[PHP] pobierz, plaintext 

i potem, aby sprawdzić, czy ktoś jest faktycznie zalogowany, dodać:

[PHP] pobierz, plaintext 
<?
if(isset($_SESSION['user_id']) && $_SESSION['user_agent'] == $_SERVER['HTTP_USER_AGENT'] && $_SESSION['user_ip'] == $_SERVER['REMOTE_ADDR']){
echo'zalogowany';
}
else{
echo'niezalogowany';
}
?>
[PHP] pobierz, plaintext 

[Sephirus]

Ślicznie

EDIT: Co do PHPass pobierz go po prostu - tam masz przykłady z tego co pamiętam, poczytaj i poszukaj na google o tym - jest trochę materiałów

Ten post edytował Sephirus 22.10.2012, 13:22:48

[marcinek37]

sprawdzę to PHPass

2. załóżmy, że hasło administratora to QWERTYUIOP - i tak to hasło mam mieć zapisane w bazie danych? czy zakodowanie md5 nie daje już kompletnie nic? czy Wy też macie hasło w tak prosty sposób zapisane w bazie danych, czy po prostu ten problem rozwiązuje PHPass?

[nospor]

2. załóżmy, że hasło administratora to QWERTYUIOP - i tak to hasło mam mieć zapisane w bazie danych? czy zakodowanie md5 nie daje już kompletnie nic? czy Wy też macie hasło w tak prosty sposób zapisane w bazie danych,

Przecież odpowiedziałem ci już na to pytanie w moim poprzednim poście. Po co je powielasz? Podałem ci nawet linka do dość pokaźnego tematu, który wyjaśnia kwestie hashowania.

[marcinek37]

przepraszam za problemy, nie zrozumiałem do końca

poza tym, czy mam zwracać na coś jeszcze uwagę? mowa o tych artykułach, czy są jeszcze jakieś błędy, które zdarzają się często programistom, a mogą doprowadzić do katastrofy?

[erix]

A przeczytałeś przyklejone wątki na forum? Wyszukiwarka nie gryzie. Tylko urywa ręce.

[marcinek37]

1. pobrałem sobie to: http://www.openwall.com/phpass/phpass-article-3.tar.gz
i skupiłem się na katalogu demo4, który najbardziej mi odpowiadał

przykładowy kod był spory, a jego konstrukcja mi nie odpowiadała, więc skróciłem go tak:

[PHP] pobierz, plaintext 
<?
<?php
require '../PasswordHash.php';
$hasher = new PasswordHash($hash_cost_log2, $hash_portable);
 
// oryginalne hasło
$org_pass = 'XYZ';
 
// funkcja, która tworzy hash dla hasła
$pass = $hasher->HashPassword($org_pass);
 
// hash, który się utworzył
$org_hash = '$P$BxAextjApHS/s1Hj01Eydd9Jfv2PSb.';
 
// jeśli pokaże 1, to działa dobrze
$ok = $hasher->CheckPassword($org_pass, $org_hash);
 
// wynik
echo $ok;
?>
[PHP] pobierz, plaintext 

czy dobrze zrozumiałem jego działanie?

2. żeby kod nieco skrócić, zmieniłem nieco klasę:

[PHP] pobierz, plaintext 
<?
class PasswordHash {
	var $itoa64;
	var $iteration_count_log2 = 8;
	var $portable_hashes = FALSE;
	var $random_state;
...
?>
[PHP] pobierz, plaintext 

bo i tak nie wiem, do czego służą te parametry, więc wpisałem je na stałe

3. jak rozumiem, każda fraza może mieć kilka/kilkanaście swoich wersji, bo gdy odświeżałem stronę dla danej zmiennej, skrypt tworzył zupełnie inny hash

4. czy coś jeszcze powinienem wiedzieć o tym skrypcie?

Ten post edytował marcinek37 22.10.2012, 17:29:50