Od pewnego czasu nurtują mnie takie ciekawostki. Kiedy piszemy jaką kolwiek aplikację pod php z wykorzystaniem baz danych chciałbym się dowiedzieć od was forumowiczów czy jest jakaś strona www, gdzie są podane jakie są wymogi w kwestii przechowywania haseł (skrypty logowania), emaili ( skrypty subskrypcji ). Czy trzeba pisać pod to swoje własne skrypty kodujące takowe dane. Czy to jest w ogóle wymagane.. Czy pisząc takie skrypty dla jakich kolwiek firm trzeba używać md5() i innych funkcji hashujących do tych danych.
Dlaczego o to pytam.
Ponieważ piszac takie aplikacje dla firm istnieje (przynajmniej dla mnie istnieje taka możliwość ), że mogę napisać aplikację gdzie potem ktoś może mi powiedzieć, że wziałem za to pieniądze a takie dane nie są dostatecznie chronione, albo wyskoczyć mi z jakimiś kruczkami prawnymi o wymogach albo jakimiś specyfikacjami na ten temat.
Pozdrawiam i czekam z niecierpliwością na odpowiedż.
Do administratorów php.pl: Z góry przepraszam, że ten temat umieściłem tutaj ale nie wiedziałem, gdzie umieścić tego typu temat.
Pełna wersja: Hashowanie danych, wymogi.
Sprawa jest dość prosta. Pytasz sie zleceniodawcy o jego wymogi względem bezpieczeństwa. Spisujecie to w umowie, a Ty piszesz dokładnie tak jak jest na piśmie. Jeśli dobrze napiszesz, a zleceniodawca się przyczepi, wyciągasz umowe i mówisz: aplikacja działa dokładnie tak jak jest w umowie. Jeśli chcecie jakieś poprawki albo ulepszenia, możemy spisać nową umowę i będzie was to kosztować xxxx zł. 
Jeżeli w Specyfikacji Wymogów Zamowienia klient nie podał jakie szyfrowanie jest wymagane, używasz tego, które jest ogólnie sprawdzone i przyjete jako bezpieczne, lub takiego, które ty uważąsz za takowe.
- minimalną długość hasła
- zakres dopuszczalnych znaków
- zakres słow wykluczonych
- okres wymuszania zmiany haseł (wygasania)
- czas karencji wygaszonego hasła (przez jaki czas nie moze być ponownie użyte przez jakiegokolwiek uzytkownika)
- typ i siłę szyfrowania hasła w bazie
- ilość możłiwych prób logowania przed blokada konta (3 błedy - blokada, automatyczne informowanie komórki bezpieczeństwa / administratora)
- okres karencji po błędnym logowaniu (np. 5 minut - to dla robotów brute-force)
samo szyfrowanie / hashowanie danych to nie wszystko - wazna jest cąła otoczka utrudniająca potencjalne włamanie.
Do tego polecam kodować aplikacje np. TurkMMCache, Zend Encoder lub czymś podobnym.
Cytat
Ponieważ piszac takie aplikacje dla firm istnieje (przynajmniej dla mnie istnieje taka możliwość ), że mogę napisać aplikację gdzie potem ktoś może mi powiedzieć, że wziałem za to pieniądze a takie dane nie są dostatecznie chronione, albo wyskoczyć mi z jakimiś kruczkami prawnymi o wymogach albo jakimiś specyfikacjami na ten temat.
Dlatego własnie z klientem tworzysz Specyfikacje Wymogów Zamówienia i tam ustalasz np:- minimalną długość hasła
- zakres dopuszczalnych znaków
- zakres słow wykluczonych
- okres wymuszania zmiany haseł (wygasania)
- czas karencji wygaszonego hasła (przez jaki czas nie moze być ponownie użyte przez jakiegokolwiek uzytkownika)
- typ i siłę szyfrowania hasła w bazie
- ilość możłiwych prób logowania przed blokada konta (3 błedy - blokada, automatyczne informowanie komórki bezpieczeństwa / administratora)
- okres karencji po błędnym logowaniu (np. 5 minut - to dla robotów brute-force)
samo szyfrowanie / hashowanie danych to nie wszystko - wazna jest cąła otoczka utrudniająca potencjalne włamanie.
Do tego polecam kodować aplikacje np. TurkMMCache, Zend Encoder lub czymś podobnym.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.