[ Príspevkov: 17 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5

chcel by som sa spitat, ako spravit prihlasovanie uzivatelov tak ze registracia prebehne len administratorom (ziadna moznost registracie cez net), a pristupove mena a hesla nebudu len tak v TXT.
niesom az taky macher v PHP tak by ma zaujmalo ako to riesit, viac menej ani neviem ako to funguje na forovom systeme


Offline

Užívateľ
Užívateľ
Bezpečné prihlasovanie uživatelov (ako na to)

Registrovaný: 26.11.06
Prihlásený: 23.09.17
Príspevky: 4123
Témy: 317 | 317
Bydlisko: HE/BA

No ak som pochopil čo chceš, tak, potrebuješ urobiť asi tak aby keď sa niekto registroval, tak ty ho overíš a upravíš mu hodnotu v DB na overený(alebo niečo také) potom to budeš ukladať do sessions také údaje, aby to nikto nemohol zneužiť a aby to bežalo a do DB by si ukladal údaju, ktoré sú zraniteľné.


_________________
Desktop: CASE: Cooler Master Centurion 532 MB: ASUS P5Q PRO Turbo CPU: Intel Core 2 Quad Q6600@2,4GHz FSB 1066MHz RAM: A-Data Vitesta 2×2GB 800MHz Cl 4-4-4-12 2T GPU: PowerColor PCS+ HD6950 HDD: Seagate Barracuda 500GB 7200rpm ODD1: LG DVD+/-RW + LS(PATA) ODD2:LG DVD+/-RW(SATA) PSU: LCD: DELL U2414M 24" 1920x1200
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 04.04.07
Prihlásený: 20.11.17
Príspevky: 531
Témy: 34 | 34
Bydlisko: Bratislava

registracia iba pre adminov sa da robit tak, ze kazdy user ma v db ulozene, ci je adminom a registracna linka sa zobrazuje iba im.


_________________
CPU: AMD Phenom II 940 QUAD X4 BE AM2+, chladic: Arctic Cooling Freezer 64 Pro, RAM: 4GB DDR2 800MHz PC6400, MB: M2N-E SLI, VGA: RX 4870 GAINWARD HD4870 1GB, HDD: WD 1TB, Zdroj: CORSAIR 750W TX
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5
Napísal autor témyOffline : 17.01.2009 0:15 | Bezpečné prihlasovanie uživatelov (ako na to)

djsulo píše:
registracia iba pre adminov sa da robit tak, ze kazdy user ma v db ulozene, ci je adminom a registracna linka sa zobrazuje iba im.

nie registracia pre adminov, ale len po podpisani zmluvy dostane prihlasovacie meno a heslo ktore si nevyberie a bude mat pristup na stranku a co zaklikne tak to mi ohlasi a tak podobne, v podstate nieco ako e-shop


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

no trošičku nerozumiem. Takže pokiaľ:
- on niečo podpíše tak by si mu mohol na mail poslať jeho údaje ktoré by si vygeneroval

- on niečo podpíše, ty prídeš do administrácie, ,scváliš to a následne mu pošleš mail

V oboch prípadoch ohľadne bezpečnosti:
1, všetko čo ti pošle kontroluj, teda úplne všetky vstupy (aj jazyk jeho browsera :))
2, hesla ukladaj v sha1 (roobertok tvrdí že md5 už nie je bezpečné)

v prípade druhom by som ešte použil tokeny aby mi niekto nezaspamoval administráciu, atď ...


Offline

Čestný člen
Čestný člen
Bezpečné prihlasovanie uživatelov (ako na to)

Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1757
Témy: 17 | 17

Tominator píše:
2, hesla ukladaj v sha1 (roobertok tvrdí že md5 už nie je bezpečné)

povedal by som, ze to netvrdi len on ;) http://cryptography.hyperlink.cz/2006/tunely.pdf


_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

no veď ja nevravím že hovorí hlúposti :)

//sorry, le vyznelo mi to v podobnom duchu. suchy


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5
Napísal autor témyOffline : 17.01.2009 19:41 | Bezpečné prihlasovanie uživatelov (ako na to)

Tominator píše:
no trošičku nerozumiem. Takže pokiaľ:
- on niečo podpíše tak by si mu mohol na mail poslať jeho údaje ktoré by si vygeneroval

- on niečo podpíše, ty prídeš do administrácie, ,scváliš to a následne mu pošleš mail

V oboch prípadoch ohľadne bezpečnosti:
1, všetko čo ti pošle kontroluj, teda úplne všetky vstupy (aj jazyk jeho browsera :))
2, hesla ukladaj v sha1 (roobertok tvrdí že md5 už nie je bezpečné)

v prípade druhom by som ešte použil tokeny aby mi niekto nezaspamoval administráciu, atď ...


yas nechapem ako tz mzslis to podpisovanie, no proste fiyickz pride knam, podpise ymluvz na papierz a potom mu budu poskitnute prihlasovacie udaje na mail trebars, ktore vzmzslim ja.
no ja sa do tejto casti ako je to s heslami neroyumiem vobec, nemusi to bzt uplne ye super tajne, len abz sa to dalo lachko administrovat a nemal ktomu pristup kaydz treti
nenbude to yiadna katastrofa ked sa do toho niekto nabura, lebo aj tak sa to bude potom overovat telefonickz, takye sa na to pride okamyite

prepacte ya y/z som na maminom PC a nemam uy cas to prerobit

PS: co je to "sha1"? diky

shaggy: Ak nemáš čas po sebe prerobiť ten príspevok, tak sem ani nepíš. Ďalší taký podobný ti rovno zmažem. Ak je ťažké pre teba prečítať si pár riadkov, tak sa rovno vykašli na php, to je ešťe ťažšie.


Offline

Užívateľ
Užívateľ
Bezpečné prihlasovanie uživatelov (ako na to)

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...

geetee píše:
yas nechapem ako tz mzslis to podpisovanie, no proste fiyickz pride knam, podpise ymluvz na papierz a potom mu budu poskitnute prihlasovacie udaje na mail trebars, ktore vzmzslim ja.
no ja sa do tejto casti ako je to s heslami neroyumiem vobec, nemusi to bzt uplne ye super tajne, len abz sa to dalo lachko administrovat a nemal ktomu pristup kaydz treti
nenbude to yiadna katastrofa ked sa do toho niekto nabura, lebo aj tak sa to bude potom overovat telefonickz, takye sa na to pride okamyite

prepacte ya y/z som na maminom PC a nemam uy cas to prerobit

PS: co je to "sha1"? diky


Kristova noho! takze takto, odpoviem na poslednu otazku bo zbytku som nerozumel:) Sha1 je sifrovanie v php, ktore je zevraj lepsie nez md5.
takze tak...ja som to este nepouzil furt som zavisly na md5 ale...tak
ako to tak kukam moze to byt dobre, idem si to asi aplikovat do scriptov


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

no tak potom geetee fakt nerozumiem kde je problém :D

Však urobíš si stránku, ako ju urobíš mi je srdečne jedno. Následne máš dve možnosti:
1, zabezpečiť to cez SESSION, SESSION je PHP premenná
2, zabezpečiť to cez .htpasswd

Čo sa týka konkrétne vkladnia hesiel, môžeš použiť databázu kde budeš uchovávať hesla v sha1, pokiaľ nevieš čo to je použi www.php.net a daj hľadať sha1()

Povedať, že sa na útočníka ľahko príde je hlúposť rovnako povedať že to nemusí byť bezpečné.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5
Napísal autor témyOffline : 18.01.2009 10:53 | Bezpečné prihlasovanie uživatelov (ako na to)

Tominator píše:
no tak potom geetee fakt nerozumiem kde je problém :D

Však urobíš si stránku, ako ju urobíš mi je srdečne jedno. Následne máš dve možnosti:
1, zabezpečiť to cez SESSION, SESSION je PHP premenná
2, zabezpečiť to cez .htpasswd

Čo sa týka konkrétne vkladnia hesiel, môžeš použiť databázu kde budeš uchovávať hesla v sha1, pokiaľ nevieš čo to je použi www.php.net a daj hľadať sha1()

Povedať, že sa na útočníka ľahko príde je hlúposť rovnako povedať že to nemusí byť bezpečné.


no toto je presne to co som potreboval, diky moc
a k tomu zabespeceniu, z to uz je jedno ci to bude pod md5 alebo sha1, tak ale si nastudujem rovno to sha1 a som vysmiaty


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5
Napísal autor témyOffline : 18.01.2009 10:56 | Bezpečné prihlasovanie uživatelov (ako na to)

shaggy: Ak nemáš čas po sebe prerobiť ten príspevok, tak sem ani nepíš. Ďalší taký podobný ti rovno zmažem. Ak je ťažké pre teba prečítať si pár riadkov, tak sa rovno vykašli na php, to je ešťe ťažšie.

ne som bol len na skok na maminom PC bo som bol u nasich a nemal som to uz cas prepisat

uz si dam na to pozor


Offline

Čestný člen
Čestný člen
Bezpečné prihlasovanie uživatelov (ako na to)

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno

No, nejdem zakladat novu temu pretoze sa chcem opytat na to iste ako je nazov temy.
Mam takyto postup, zatial len v hlave. Malo by ist o prihlasovanie do administracie:
    Uzivatel zada meno a heslo, vstupy sa osetria a pokial sa meno aj heslo zhoduju s nejakym menom v databaze, do tabulky sessions vlozim zaznam so session_id() a casom prihlasenia. Chcem obmedzit cas prihlasenia na povedzme 15 minut od poslednej necinnosti, tak vzdy pri natiahnuti nejakej stranky administracie skontrolujem, ci je zaznam s tymto session_id v tabulke a ci je cas poslednej aktivity tohto session_id menej ako 15 minut od aktualneho casu. Ak nie, exit(); Ak ano, updatnem v tabulke cas poslednej aktivity tohto session_id() na aktualny cas.

Mam otazky: je takyto postup bezpecny? Resp. ako by sa dal zneuzit?
V niektorych temach citam nieco o session_regenerate_id(), mam to pouzit aj ja? Kde presne?
Dik.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 04.04.07
Prihlásený: 20.11.17
Príspevky: 531
Témy: 34 | 34
Bydlisko: Bratislava

session_regenerate_id() pouzi hned na zaciatku, kde volas session_start(). urcite pomaha, vytvara ti nove ID a vsetky udaje ti zachova, takze aj ked niekto odchyti session ID pri behu skriptu, tak mu bude nanic pri dalsom nacitani...


_________________
CPU: AMD Phenom II 940 QUAD X4 BE AM2+, chladic: Arctic Cooling Freezer 64 Pro, RAM: 4GB DDR2 800MHz PC6400, MB: M2N-E SLI, VGA: RX 4870 GAINWARD HD4870 1GB, HDD: WD 1TB, Zdroj: CORSAIR 750W TX
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečné prihlasovanie uživatelov (ako na to)

Registrovaný: 07.03.06
Prihlásený: 23.01.11
Príspevky: 408
Témy: 2 | 2
Bydlisko: Prešov / Pr...

Nie pri každom volaní session_start(), ale session_regenerate_id() je vhodné použiť pri prihlasovaní, pri nastavení session. Viac to nájdeš popísané napr tu: http://php.vrana.cz/prihlasovani-uzivatelu.php


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96

Ďuri píše:
No, nejdem zakladat novu temu pretoze sa chcem opytat na to iste ako je nazov temy.
Mam takyto postup, zatial len v hlave. Malo by ist o prihlasovanie do administracie:
    Uzivatel zada meno a heslo, vstupy sa osetria a pokial sa meno aj heslo zhoduju s nejakym menom v databaze, do tabulky sessions vlozim zaznam so session_id() a casom prihlasenia. Chcem obmedzit cas prihlasenia na povedzme 15 minut od poslednej necinnosti, tak vzdy pri natiahnuti nejakej stranky administracie skontrolujem, ci je zaznam s tymto session_id v tabulke a ci je cas poslednej aktivity tohto session_id menej ako 15 minut od aktualneho casu. Ak nie, exit(); Ak ano, updatnem v tabulke cas poslednej aktivity tohto session_id() na aktualny cas.
Mam otazky: je takyto postup bezpecny? Resp. ako by sa dal zneuzit?
V niektorych temach citam nieco o session_regenerate_id(), mam to pouzit aj ja? Kde presne?
Dik.

no tak ešte by som dodal, že neoveruješ heslo, tým pádom pokiaľ ja zadám nick a heslo hocijaké, tak sa ti tam dostanem. (ale to si asi myslel :))


Offline

Čestný člen
Čestný člen
Bezpečné prihlasovanie uživatelov (ako na to)

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno

No ved jasne, to je samozrejmost.


 [ Príspevkov: 17 ] 


Bezpečné prihlasovanie uživatelov (ako na to)



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Vista - prihlasovanie uzivatelov

v Operačné systémy Microsoft

3

396

02.10.2009 14:01

Frey

V tomto fóre nie sú ďalšie neprečítané témy.

prihlasovanie užívateľov na phpBB

v Redakčné systémy

11

617

02.08.2006 7:33

MASH

V tomto fóre nie sú ďalšie neprečítané témy.

Prihlásenie viacerých uživateľov, ako na to?

v PHP, ASP

1

334

21.02.2010 16:22

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

ake je to bezpecne?

v Bezpečnosť a firewally

3

719

07.05.2006 18:59

Alyx_Vance

V tomto fóre nie sú ďalšie neprečítané témy.

ako bezpecne nainstalovat linux + win

v Operačné systémy Unix a Linux

17

2058

23.05.2006 10:04

lamerko

V tomto fóre nie sú ďalšie neprečítané témy.

Ako bezpecne zrusit email konto.

v Služby a webstránky

14

499

27.11.2013 23:06

Kraliček

V tomto fóre nie sú ďalšie neprečítané témy.

Ako urobit automaticke prihlasovanie

v Operačné systémy Microsoft

8

860

03.01.2009 12:22

webkar

V tomto fóre nie sú ďalšie neprečítané témy.

Ako bezpečne a úplne vymazať Trotrux.com, mail.ru atď.

v Antivíry a antispywary

6

241

12.01.2017 10:31

Daron

V tomto fóre nie sú ďalšie neprečítané témy.

Ako presuniem uzivatelov a skupiny z Win2003server na 2008

v Operačné systémy Microsoft

0

176

02.07.2008 8:13

m.jaros

V tomto fóre nie sú ďalšie neprečítané témy.

Gimp - ako ho naistalovat vo win pre vsetkych uzivatelov

v Grafické programy

0

642

12.10.2007 14:45

srnka

V tomto fóre nie sú ďalšie neprečítané témy.

uz som to raz zazil? ako to je mozne?

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Paranormálne javy a teórie

53

3924

26.10.2008 18:48

SilverSurfer

V tomto fóre nie sú ďalšie neprečítané témy.

Ako sa to vola a kde to najdem ?

v Redakčné systémy

5

546

26.05.2009 8:06

don jebot

V tomto fóre nie sú ďalšie neprečítané témy.

USB to Bluetuoth (ako to rozbehnut bez cd,co ktomu bolo?)

v Mobilné zariadenia

14

775

16.03.2007 14:18

paulix

V tomto fóre nie sú ďalšie neprečítané témy.

DLL vyssvetlite mi co to je a ako sa to pouziva???

v Assembler, C, C++, Pascal, Java

12

2150

19.04.2009 18:49

reDo

V tomto fóre nie sú ďalšie neprečítané témy.

samsung s8300, pc studio, ako to cez to pouzit jak modem?

v Siete

1

638

12.11.2009 19:02

uniqat

V tomto fóre nie sú ďalšie neprečítané témy.

Samsung S8300 ultra touch ako navigacia. ako na to?

v Mobilné zariadenia

6

809

26.11.2009 22:25

Jaro



© 2005 - 2017 PCforum, edited by JanoF