 [php mysql] Zaawansowane logowanie |
  |
| [php mysql] Zaawansowane logowanie |
 19.07.2007, 12:06:06
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 51 Pomógł: 1 Dołączył: 4.11.2006 Ostrzeżenie: (0%) 
 |
Witam!
Właśnie zabieram się za stronę na której będzie logowanie do panelu i potrzebuje stworzyć skrypt odporny na wszystkie ataki (niestety nie mogę wykorzystać szyfrowania). Chciałbym się w związkyu z tym dowiedzieć od was jakie znacie metody włamywania się, a co za tym idzie zabezpieczania logowania. Z tego co narazie wymyśliłem to po zalogowaniu generuje jakiś klucz umieszczam go w bazie w sesji a następnie porównuje, dodatkowo sprawdzm ip czy jest takie samo od poczatku Z góry dzięki za wskazówki |
 |
 
|
|
19.07.2007, 12:13:40
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 99 Pomógł: 5 Dołączył: 20.06.2005 Skąd: Bielsk Podlaski Ostrzeżenie: (0%)
|
|
|
|
|
|
19.07.2007, 12:19:10
Post
#3
|
|
 Grupa: Zarejestrowani Postów: 1 116 Pomógł: 119 Dołączył: 10.05.2005 Skąd: Poznań Ostrzeżenie: (0%)
|
Bezpieczne logowanie bez SSL
Cytat(ujex @ 19.07.2007, 11:06:06 )  niestety nie mogę wykorzystać szyfrowania ... tak to tylko w Erze. Piszesz że po zalogowaniu coś tam wpisujesz do bazy... tylko, że nie pomyślałeś, że to logowanie idzie niezaszyfrowane poprzez POSTa (lub GETa nie wiem jak u Ciebie). I w bardzo prostu spobób można to podsłuchać najprostszym sniferem. Aby przed tym się zabezpieczyć proponuję zaszyfrować (przed wysłaniem w JavaScript) haslo (w sumie login też można) jakimś asynchronicznym algorytmem (np: RSA). i zdekodować to po stronie PHP potem dopiero zachaszować... i do bazy. Cobyś nie wymyślił pamiętaj: Co jedna osoba zakręci, znajdzie się taka, która to potrafi odkręcić. Czyli, że nigdy nie da się stworzyć skryptu, który jest... Cytat(ujex @ 19.07.2007, 11:06:06 ) ... odporny na wszystkie ataki
|
|
|
|
|
19.07.2007, 12:54:23
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 51 Pomógł: 1 Dołączył: 4.11.2006 Ostrzeżenie: (0%)
|
Dzięki Cezar708 z tym szyfrowaniem to jeszcze przemyślę - nigdy tego nie stosowałem bo do tej pory nie było takie potrzeby:)
Czy takie szyfrowanie w Javie i dekodowanie w php jest juz jakims zabezpieczeniem? Czy to tez mozna przechwycić? Co do postu Lounera to przeglądnołem temat który mi podsunoles i niestety nie znalazłem tam nic konkretnego na temat logowania |
|
|
|
|
19.07.2007, 13:37:31
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 90 Pomógł: 6 Dołączył: 30.06.2007 Skąd: Zielona Góra Ostrzeżenie: (0%)
|
Ja kiedyś spróbowałem takiej metody. Przy logowaniu hasło zostało zamieniane na md5 i w takiej postaci przesyłane na serwer. I myślałem, że to super i nie do obejścia. I guzik. Pominę fakt, że podczas logowania trzeba było dociągnąć 2 js z algorytmem md5, bo te kilkadziesiąt kb można raz przeboleć. Jeśli ktoś "podsłucha" przesyłane dane logowania to jest o tyle lepsza sytuacja, że nie zobaczy hasła odkodowanego. I moim zdaniem tyle korzyści z tego. Dla jednych to już dużo dla mnie nie. Wolę inne rozwiązania. W miarę możliwości ograniczyć dostęp do panelu logowania dla wybranych IP, w określonych godzinach. Określić maksymalną liczbę prób logowania a potem blokować dostęp do strony. Wymuszać co jakiś czas zmianę hasła i określić reguły - minimalna długość, niepowtarzalność i żeby nie było podobne do loginu. Wymaga to więcej pracy ale moim zdaniem lepsze rozwiązanie. A już super jak serwis działa na https, ale to jednak nieliczni chcą wykupić cert za kilkaset USD.
|
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 12.06.2025 - 12:17 |
