Witam!
Właśnie zabieram się za stronę na której będzie logowanie do panelu i potrzebuje stworzyć skrypt odporny na wszystkie ataki (niestety nie mogę wykorzystać szyfrowania).
Chciałbym się w związkyu z tym dowiedzieć od was jakie znacie metody włamywania się, a co za tym idzie zabezpieczania logowania.
Z tego co narazie wymyśliłem to po zalogowaniu generuje jakiś klucz umieszczam go w bazie w sesji a następnie porównuje, dodatkowo sprawdzm ip czy jest takie samo od poczatku
Z góry dzięki za wskazówki
Pełna wersja: [php mysql] Zaawansowane logowanie
Bezpieczne logowanie bez SSL
... tak to tylko w Erze.
Piszesz że po zalogowaniu coś tam wpisujesz do bazy... tylko, że nie pomyślałeś, że to logowanie idzie niezaszyfrowane poprzez POSTa (lub GETa nie wiem jak u Ciebie). I w bardzo prostu spobób można to podsłuchać najprostszym sniferem.
Aby przed tym się zabezpieczyć proponuję zaszyfrować (przed wysłaniem w JavaScript) haslo (w sumie login też można) jakimś asynchronicznym algorytmem (np: RSA). i zdekodować to po stronie PHP potem dopiero zachaszować... i do bazy.
Cobyś nie wymyślił pamiętaj: Co jedna osoba zakręci, znajdzie się taka, która to potrafi odkręcić. Czyli, że nigdy nie da się stworzyć skryptu, który jest...
Cytat(ujex @ 19.07.2007, 11:06:06 ) 
niestety nie mogę wykorzystać szyfrowania
... tak to tylko w Erze.
Piszesz że po zalogowaniu coś tam wpisujesz do bazy... tylko, że nie pomyślałeś, że to logowanie idzie niezaszyfrowane poprzez POSTa (lub GETa nie wiem jak u Ciebie). I w bardzo prostu spobób można to podsłuchać najprostszym sniferem.
Aby przed tym się zabezpieczyć proponuję zaszyfrować (przed wysłaniem w JavaScript) haslo (w sumie login też można) jakimś asynchronicznym algorytmem (np: RSA). i zdekodować to po stronie PHP potem dopiero zachaszować... i do bazy.
Cobyś nie wymyślił pamiętaj: Co jedna osoba zakręci, znajdzie się taka, która to potrafi odkręcić. Czyli, że nigdy nie da się stworzyć skryptu, który jest...
Cytat(ujex @ 19.07.2007, 11:06:06 )
... odporny na wszystkie ataki
Dzięki Cezar708 z tym szyfrowaniem to jeszcze przemyślę - nigdy tego nie stosowałem bo do tej pory nie było takie potrzeby:)
Czy takie szyfrowanie w Javie i dekodowanie w php jest juz jakims zabezpieczeniem?
Czy to tez mozna przechwycić?
Co do postu Lounera to przeglądnołem temat który mi podsunoles i niestety nie znalazłem tam nic konkretnego na temat logowania
Czy takie szyfrowanie w Javie i dekodowanie w php jest juz jakims zabezpieczeniem?
Czy to tez mozna przechwycić?
Co do postu Lounera to przeglądnołem temat który mi podsunoles i niestety nie znalazłem tam nic konkretnego na temat logowania
Ja kiedyś spróbowałem takiej metody. Przy logowaniu hasło zostało zamieniane na md5 i w takiej postaci przesyłane na serwer. I myślałem, że to super i nie do obejścia. I guzik. Pominę fakt, że podczas logowania trzeba było dociągnąć 2 js z algorytmem md5, bo te kilkadziesiąt kb można raz przeboleć. Jeśli ktoś "podsłucha" przesyłane dane logowania to jest o tyle lepsza sytuacja, że nie zobaczy hasła odkodowanego. I moim zdaniem tyle korzyści z tego. Dla jednych to już dużo dla mnie nie. Wolę inne rozwiązania. W miarę możliwości ograniczyć dostęp do panelu logowania dla wybranych IP, w określonych godzinach. Określić maksymalną liczbę prób logowania a potem blokować dostęp do strony. Wymuszać co jakiś czas zmianę hasła i określić reguły - minimalna długość, niepowtarzalność i żeby nie było podobne do loginu. Wymaga to więcej pracy ale moim zdaniem lepsze rozwiązanie. A już super jak serwis działa na https, ale to jednak nieliczni chcą wykupić cert za kilkaset USD.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.