Wpis z mikrobloga

Skopiuj link

konto usunięte 05.05.2015, 15:53:01

#programowanie #webdev #php
Mirki, robię nadal projekt na studia i zatrzymałem się na dwóch punktach wymagań:
8.Odpowiednie zabezpieczenie procesu logowania dla połączenia nieszyfrowanego.
9. Pomimo zabezpieczeń, połączenie ze stroną powinny być szyfrowane.

Logowanie samo w sobie mam, hasło zapisane w bazie przez sha1, ale średnio wiem jakie dodatkowe zabezpieczenia wprowadzić? No i najważniejsze - jak włączyć szyfrowane połączenie? Używam lokalnego Xamppa.

(nie mogę używać frameworków, a mam zrobić dość porządną stronę. fajna przygoda, bulwo)

konto usunięte
Cronox

Darknov

05.05.2015, 15:54:36

@yamciayamcia: zabezpieczyć przed atakami SQL injection?

Kramarz

05.05.2015, 15:54:43

@yamciayamcia: sql injection? zabezpieczone?

y.....a

konto usunięte 05.05.2015, 15:56:51

@Kramarz: @Darknov: tak, tak.

Smash123

05.05.2015, 15:57:32

@yamciayamcia: ja bym wygenerował certyfikat ssl i odpalił w apachu https. Założenie szyfrowania byłoby spełnione.

pitu-pr

05.05.2015, 15:57:57

@yamciayamcia: Jak dla mnie 8. trochę sugeruje aby nie przesyłać podczas logowania hasła jawnym tekstem. Czyli po stronie klienta w JS szyfrujemy i przesyłamy już hash.

alosha

05.05.2015, 15:58:47

@yamciayamcia: sha1 jeden to żadne zabezpieczenie hasła. http://adambard.com/blog/3-wrong-ways-to-store-a-password/

niewiemcotuwpisac

05.05.2015, 15:59:35

@yamciayamcia: uzyj blowfisha do hashowania hasel, php < 5.6 - polecam biblioteke https://github.com/ircmaxell/password_compat, 5.6 >= uzyj wbudowanych w jezyk funkcji
co do polaczenia szyfrowanego - znajdz tutka jak wlaczyc ssl na xampie, warto by bylo wprowadzic rowniez zabezpieczenia csrf i xss

alosha

05.05.2015, 16:00:56

uzyj blowfisha do hashowania hasel, php < 5.6 - polecam biblioteke https://github.com/ircmaxell/password_compat, 5.6 >= uzyj wbudowanych w jezyk funkcji

@niewiemcotuwpisac: Pytanie, czy hasła mają być do odkodowania, czy nie. Jeśli nie, po co blowfish? A jeśli odkodowanie, to dlaczego nie AES? http://stackoverflow.com/questions/4147451/aes-vs-blowfish-for-file-encryption

y.....a

konto usunięte 05.05.2015, 16:02:44

@alosha: @niewiemcotuwpisac: nie no, aż tak zaawansowany projekt toto nie jest :) ja nawet mvc nie używam, po prostu zwykły, podstawowy pehap z MySQL i elementami JS. Wchodzenie w dyskusje aes vs blowfish vs sha1 to nie ten poziom.

niewiemcotuwpisac

05.05.2015, 16:06:29

@alosha: w jaki sposob odkodowanie? haslo haszujesz funkcja jednokierunkowa, nie mozesz byc w stanie 'odzyskac' hasla na podstawie samego hashu (+sol)

alosha

05.05.2015, 16:07:17

@yamciayamcia: W porządku, ale dla potomności i archiwum Internetu trzeba stwierdzić, że haseł zakodowanych w jedną stronę nie trzyma się w SHA1, a takich do odkodowania w Blowfishu.

Swiatek7

alosha

05.05.2015, 16:08:49

@niewiemcotuwpisac: Czasami trzeba trzymać dane jak np. numer karty kredytowej i móc je później odkodować. Czasem trzeba tak trzymać hasło, bo np. jest wykorzystywane do komunikacji z innym systemem, a nie chcemy trzymać tego hasła w czystym tekście.
Zatem nie jest ważne, co szyfrujemy: czasem hasło, czasem coś innego.

Sewci0

05.05.2015, 20:25:24

Komentarz usunięty przez autora

Jurigag

05.05.2015, 21:58:27

@pitu-pr: po co i na co ?

Jurigag

05.05.2015, 21:59:00

@alosha: po co odkodowywać hasła ?!

alosha

06.05.2015, 10:02:05

@Jurigag: A po to, że może np. trzeba je użyć do autentykacji w innym systemie?
Po co odkodowywać pliki? Po co odkodowywać numery kart kredytowych? ;-)
Jak napisałem powyżej, nie jest istotne, co (od)kodowujemy, ważne jak.

To, że Pan nie miał nigdy takiej potrzeby to jeszcze nie oznacza, że takie potrzeby nie istnieją na świecie...

Aktywne Wpisy

Dzonsin

Dzonsin +57

3 godz. i 33 min temu

#walentynki #promocja #diva

Mam stałą kobietę divę, do której uczęszczam już ponad 6 miesięcy. Po namyślę i chęci spędzania walentynek jak zakochana para. Postanowiłem napisać do niej czy istnieje możliwość wynajęcia jej na walentynki (pół dnia i nocy). Z miła checia się zgodziła i zrobiła mi kolosalny rabat.
Mam plan zabrać, ją na wypasioną kawę z ciastem, na seans filmowy, mega smaczną kolację. Noc skończymy u mnie.

Mam ochotę, zrobić jej dzień