site goed beveiligen

[JB'tje]

hallo....

een hele tijd geleden heb ik de vraag gesteld: 'hoe kan ik een .php fille beveiligen'
(toen ik nog weing tot nix van php afwist).

Dan zou ik toch écht eerst wat PHP gaan leren ...dan leer je beveiliging d'r ook bij

ik denk, hoop want ik heb het nu echt nodig, nu ik een beeeetje van php afweet dat het nu is dat ik maar eens wat van 'beveiligen' ga leren.
ik heb namelijk een 'admin' site gemaakt waar ik (in de toekomst) IP's kan bannen en een vilter voor berichten kan aanpassen en nog veel meer, maar het is dus niet de bedoeling dat de eerste de beste persoon daar naar binnen kan....

dus de vraag, Hoe kan ik de admin site zo goed beveiligen dat het moeilijk word om binnen te komen.
met IP werk ik momenteel al....

JB'tje

 

[JPeetje]

Met een wachtwoord het admin panel vergrendelen

 

[JB'tje]

Met een wachtwoord het admin panel vergrendelen

ja, maar hoe moeilijk is het nou om een progje te schrijfen dat alle letter code's afgaat??? dat heb ik zelfs nog zo gedaan... desnoods in VB.

is er niet nog iets anders???

en is het echt zo dat een IP adres ALTIJD hetzelfde blijft???
en, is er misschien een mogelijkheid om met cooookies te werken??? want een cookie aanmaken met een 60 tekens letter en cijfer combinatie zal niet zo snel gekraakt worden, denk ik.

JB'tje:thumb:

 

[JPeetje]

Geplaatst door JB'tje
ja, maar hoe moeilijk is het nou om een progje te schrijfen dat alle letter code's afgaat??? dat heb ik zelfs nog zo gedaan... desnoods in VB.

is er niet nog iets anders???

Dat heet brute forcen en bij een string van meer dan 5 combinaties ben je een behoorlijk lange tijd bezig met ontcijfer. Vandaar dat 'de grote' services zoals hotmail je verplichten om een wachtwoord van meer dan 6 tekens te nemen.
Neem voor de zekerheid een wachtwoord van 8 tekens, en verander deze om het half jaar, dan zullen ze hem echt niet snel raden.

en is het echt zo dat een IP adres ALTIJD hetzelfde blijft???

Nee, modemgebruikers (56k6 enzo) gebruikers hebben elke keer dat ze online gaan een ander IP-adres.

en, is er misschien een mogelijkheid om met cooookies te werken??? want een cookie aanmaken met een 60 tekens letter en cijfer combinatie zal niet zo snel gekraakt worden, denk ik.

Cooookies nog wel.
Maar dat 60 tekens combinatie is wel goed, een sessie ID werkt ook op die manier, alleen iets minder tekens

 

[JB'tje]

Dat heet brute forcen en bij een string van meer dan 5 combinaties ben je een behoorlijk lange tijd bezig met ontcijfer.

nou , dat weet ik nog net zo niet...
er zijn namelijk 'maar' 12.356.630 verschillende mogelijkheden dat heb ik met een snelle computer binnen een week gekraakd.....

Vandaar dat 'de grote' services zoals hotmail je verplichten om een wachtwoord van meer dan 6 tekens te nemen.

dat moet ook wel, anders krijg je zelfs mensen die hetzelfde wachtwoord hebben.... (niet dat dat erg is hoor...)

Neem voor de zekerheid een wachtwoord van 8 tekens, en verander deze om het half jaar, dan zullen ze hem echt niet snel raden.

die heb ik gelukkig al.... en aangezien passwords altijd hoofdletter gevoelig zijn en er meestal ook een getal in moet zitten zijn ze bijna onkraagbaar...

verder wil ik graag weten of het mogelijk is om een array in de database te zetten... en indien je hem erin krijgt, of je hem er dan ook weer als een array uit kunt halen...

JB'tje

 

[JPeetje]

Geplaatst door JB'tje
nou , dat weet ik nog net zo niet...
er zijn namelijk 'maar' 12.356.630 verschillende mogelijkheden dat heb ik met een snelle computer binnen een week gekraakd.....

Je vergeet dat deze brute force over internet wordt uitgevoerd, waardoor de verbinding tussen de bruteforcende pc en de server ook voor een behoorlijke oponthoud zorgt, zeker als je 12.356.630 keer data over die verbinding moet sturen en ontvangen.

dat moet ook wel, anders krijg je zelfs mensen die hetzelfde wachtwoord hebben.... (niet dat dat erg is hoor...)

Hotmail heeft het puur uit veiligheidsstandpunt gedaan, niet omdat mensen wellicht 't zelfde wachtwoord zouden kunnen hebben. Hotmail heeft zoveel leden dat dat écht wel is voorgekomen

verder wil ik graag weten of het mogelijk is om een array in de database te zetten... en indien je hem erin krijgt, of je hem er dan ook weer als een array uit kunt halen...

Voor zover ik weet niet

 

[JB'tje]

Je vergeet dat deze brute force over internet wordt uitgevoerd

nee, hoor, had ik al aan gedacht.... en trouwens het is geen 12.356.630 als ik eerder gezegd had maar 931.151.402 tenminste als je de getallen en hoofdletters ook mee rekend.... ik ga er in ieder geval niet aan beginnen

Voor zover ik weet niet

oeps.... daar gaa mijn idee....

ach, ik bedenk wel weer wat...

Bedankt, en Gegroet,

JB'tje

 

[JPeetje]

Geplaatst door JB'tje
en trouwens het is geen 12.356.630 als ik eerder gezegd had maar 931.151.402 tenminste als je de getallen en hoofdletters ook mee rekend....

FF narekenen:
- 26 kleine letters.
- 26 hoofdletters.
- 10 getallen.

26 + 26 + 10 = 62.

[...] en bij een string van meer dan 5 combinaties ben je een behoorlijk lange tijd bezig met ontcijferen.

'combinaties' moet 'tekens' zijn.

Meer dan 5, we nemen 6 aan.
Aantal mogelijkheden met 6 tekens:
62×62×62×62×62×62 = 62^6 (tot de macht 6) = 56.800.235.584 mogelijkheden.

Aardig wat ...

 

[arre]

www.hackthissite.org
www.bright-shadows.net

Kan je die 'challenges', dan kan je een zeer goed beveiligde site maken

Als je kan hacken, weet je hoe een hacker tewerk kan gaan en hem stoppen

 

[JPeetje]

Geplaatst door arre
www.hackthissite.org
www.bright-shadows.net

Kan je die 'challenges', dan kan je een zeer goed beveiligde site maken

Als je kan hacken, weet je hoe een hacker tewerk kan gaan en hem stoppen

Net-force is ook een leuke

 

[JB'tje]

mooi, dan ga ik nu al mijn tijd verspillen aan het leren een site te beveiligen, das wat ik altijd al heb gewild... !!!

heel erg bedankt,

JB'tje