php wel veilig?

[carlo boy7]

Ik ben allerlij oplossingen aan het zoeken voor man~ in-the -middle (of zo iets)

Het gaat om als een gebruiker inlogt, dan worden het wachtwoord en gebruikersnaam naar de server gestuurt.
Maar die info kan dan een hacker afluisteren.

Hoe kan je dit probleem oplossen met php maar zonder https://?

 

[Supersnail]

Niet. Op het moment dat PHP (een server side taal) iets met de gegevens kan doen zijn ze al verstuurd. De enige manier om een man-in-the-middle-aanval te voorkomen is door de gegevens te versleutelen voor ze te versturen. Dat kan het makkelijkste met HTTPS (je kan natuurlijk met bijv. javascript de gegevens versleutelen, maar omdat iedereen het algoritme en de sleutel in de broncode kan lezen is dat niet veilig genoeg).

 

[carlo boy7]

dat is wel vervelend, maar alles gaat boven veiligheid.
Maar. dan heb ik een vraag.
Moet je dan de inlog pagina beveiliggen.
Of de pagina waar het word verwerkt?

 

[Frats]

Veiligheid moet op alle niveau's zitten...

Dus je moet alle pagina's eigenlijk beveiligen, of een standaard beveiliging maken die op alle pagina's in effect is.

Sowieso is de regel: vertrouw nooit user input, dus alle verwerkingspagina's moeten extra veilig zijn en heel goed controleren of je gebruiker geen onzin danwel gevaarlijke input stuurt.

 

[carlo boy7]

Ik snap ook niet, wat is leuk aan dingen kapot maken wat mensen heel lang aan hebben gezeten.
Geef je dat een kick. Jongens kijk hier! Kijk eens wat ik kan,
IK vind dat maar vernielerij

 

[Frats]

Dat geeft zeker een kick, het is gewoon een uitdaging.

De grote vraag is wat mensen er mee doen nadat ze het systeem verslagen hebben... de meesten sturen je dan een net mailtje met precies wat er kapot kan, en richten verder helemaal geen schade aan.

Het zijn alleen een paar ******tjes die het leuk vinden om dingen kapot te maken, maar dat zijn meestal ook degenen die er zelf niets van af weten, en gewoon scriptjes van het internet plukken om sites af te breken; vandaar dat je er ook niet oneindig veel tijd in hoeft te steken.
Als je scriptkiddies buiten de deur kunt houden en er gaan geen miljoenen om in je site, ben je veilig

 

[carlo boy7]

Ik heb nu m'n site efkes online staan.
Niet af, ik moet ook aan de instellingen van m'n webhosting aanpassen.
Maar ik weet niet hoe ze het doen. Maar ik heb al gelijk 2 mensen in m'n bam list staan.
(daar kom je als je dingen probeert te kraken, bv. 3keer het verkeerde wachtwoord van de admin in te vullen)
Moet je eens voorstellen.

ps. http://www.carlosite.site90.net/funnylife
Let a.u.b niet op m'n spelling

 

[leuthrick]

je zou ook je wachtwoorden met md5 kunnen coderen.

wat je moet doen is het gecodeerde wachtwoord opslaan in de database en als de gebruiker wild inloggen dan wat er bij password is ingevult naar md5 coderen en dat controleren met dat uit de database.

<?php
md5($password);
md5($dbpasword);
if (!($password == $dbpasword)){
exit("het wachtwoord komt niet overeen");
}
elseif ($password == $dbpasword){
//de sesion
print "je bent ingelogd";
}
else{
exit ("error");
}
?>

 

[ErikBooy007]

Maar dan moet eerst het ongecodeerde wachtwoord naar de server gestuurd worden. Daar kan het dus onderschept worden. Daardoor is dit geen goede oplossing.

Ik meen ooit een JavaScriptje gevonden te hebben dat ook tekenreeksen naar md5 kon coderen, maar kan het zo niet vinden. Daar zou je misschien wel iets aan hebben.

 

[Supersnail]

Het is nog maar de vraag of dat echt zoveel helpt. Als je de MD5 hash onderschept en de server verwacht een MD5 hash kun je de onderschepte hash opsturen. Bovendien zijn MD5 hashes tegenwoordig dankzij rainbow tables vrij snel te kraken.

 

[ErikBooy007]

Ja, daar heb je dan ook wel weer gelijk in Ik denk dat er voor de TS niet echt een oplossing is eigenlijk...

 

[carlo boy7]

Is het mogelijk om het wachtwoord Eerst in md5 te zetten en dan dat in eentjes (1) en nulletjes (0) te veranderen?
dat bijvoorbeeld het wachtwoord is Admin.
dan word het (zeg maar wat ) admin in md5:
dcnjm
en dan met eentjes en nulletjes
00100110101100

hoe zal ik dit moeten doen?
Het lijkt mij wel een stuk veigliger

 

[Frats]

Eh, dat lijkt veiliger maar het is gewoon hetzelfde Bovendien wordt de data al als 0 en 1 opgeslagen.

Als je veiliger wilt moet je SHA256 gebruiken, maar ik geloof niet dat die standaard is. SHA1 wel, die zit standaard in PHP.

Vergeet niet dat die hashing algoritmes gemaakt zijn door cryptografie experts, je kunt er weinig aan verbeteren... hoogstens rainbow-table attacks tegengaan door aan het oorspronkelijke wachtwoord een salt toe te voegen (gewoon een willekeurige tekenreeks die NIEMAND mag weten), maar omzetten naar 0 en 1 heeft voor de veiligheid nauwelijks effect...

 

[gebruiker35]

Ik vraag mij eigenlijk af hoe ik https zou kunnen maken.. want zonder dat is het dus gewoon niet veilig?

Hoe groot is de kans dat iemand die wachtwoorden onderschept, en hoe doen ze dat?

 

[Frats]

De kans dat iemand je wachtwoorden onderschept is afhankelijk van het aantal users dat je hebt, de hoeveelheid gevoelige informatie op je website, en de hoeveelheid geld die mensen je afhandig kunnen maken als het lukt om hem te kraken.

In het geval van een hobby-site ligt dat schrikbarend dicht bij 0.

Als je echt https wilt kun je eens kijken op deze site:
http://www.startssl.com/?app=1

Of je kunt op wikipedia even lezen wat het is en hoe het werkt.

 

[gebruiker35]

Hm.
gezien het feit dat ik enkele tientallen users heb, ze geen enkele cent afhandig kunnen maken en naar mijn idee er niemand nut bij heeft ga ik daar maar niet aan beginnen.