| | |
| Stránka: 1 z 1
| [ Príspevkov: 30 ] | |
Autor | Správa |
---|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal JanoF: 26.10.2014 22:12 | |
|
S cookies nemam ziadnu velku skusenost, riesim automaticke prihlasovanie a chcel by som informacie do cookies ukladat zasifrovane, toto mam uz vsetko spravene ako ma to napadlo spravit a teraz ma zaujima nacitanie danej hodnoty, treba $_COOKIE['asdf'] osetrit cez nejake bezpecne funkcie ako sa to robieva pri $_POST ci $_GET? Ukladanie ma napadlo asi takto nejak, to som uz aj spravil. Vytvorim si pole a ukladam donho na overenie id daneho profilu, zasifrovane heslo cez md5() z tabulky z uctom, dalej tam ukladam cas, vygenerovany retazec. Cele sa to zabali a zasifruje klucom. Kedze viem postup, tak obratene si z $_COOKIE['asdf'] viem vsetko vytiahnut a to nasledne overim s ulozenymi hodnotami v tabulke pre autoprihlasovanie. Neviem ci to je uz nejak moc prehnane, alebo blbo riesene, napadlo ma take riesene, mozno sa to da robit efektivnejsie, nechcem ale pouzit nejake hotovre riesenie ale sam by som si to chcel nejak spravit No a zaujima ma ci treba $_COOKIE['asdf'] pretiahnut cez nejake bezpecne funkcie v pripade ze by utocnik chcel manipulovat s cookies?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 21.02.06 Prihlásený: 08.12.14 Príspevky: 5404 Témy: 30 Bydlisko: Bratislava | |
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 26.10.2014 22:27 | |
|
Aha, jasne, len som si ho tam dovolil ulozit preto, ze je to uz heslo z databazy ktore je uz spracovane cez md5, ja som ho este raz prebehol cez md5, ulozil do pola s dalsimi informaciami, to vsetko zabalil cez gzip a zasifroval svojim klucom. Slo mi len o to aby som mal s cim porovnat pri prvom overeni ze sa skutocne jedna o daneho uzivatela a to ma napadlo spravit ze jedna z moznosti by bolo aj samotne heslo, ale tak to odtial teda odstranim, myslel som si ze by to bola asi blbost, len ked cele cookies su zasifrovane, tak bez kluca by s tym aj tak nic nezmohol, ci? Idem mrknut na ten clanok....a treba $_COOKIE nejak osetrovat ako tomu je pri $_POST ci $_GET kde sa pouziva trebars mysqli_real_escape_string(), treba tiez take nieco pouzivat? Ci tam je to jedno?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 26.10.2014 23:56 | |
|
Naozaj potrebuješ do cookie ukladať niečo iné ako session id? (má to zmysel len ak z nejakého špeciálneho dôvodu nechceš alebo nemôžeš používať session uložené na serveri)
To, či treba ošetrovať nejaké HTTP hlavičky záleží od toho, čo s nimi budeš robiť. (napr. ak nebudeš cookie zobrazovať priamo v html alebo v javascripte a nebudeš to ukladať do DB, tak s tým nič špeciálne robiť nemusíš)
|
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Na md5 úplne zabudni a ešte úplnejšie zabudni na hashovanie hashov...
_________________ C#, PHP, ... |
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 27.10.2014 0:08 | |
|
Keďže to celé zakóduje, tak je úplne jedno, akú hash funkciu tam použije (ak tam teda použije rozumne zložitú šifru).
|
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 0:25 | |
|
chrono píše: Naozaj potrebuješ do cookie ukladať niečo iné ako session id? (má to zmysel len ak z nejakého špeciálneho dôvodu nechceš alebo nemôžeš používať session uložené na serveri)
To, či treba ošetrovať nejaké HTTP hlavičky záleží od toho, čo s nimi budeš robiť. (napr. ak nebudeš cookie zobrazovať priamo v html alebo v javascripte a nebudeš to ukladať do DB, tak s tým nič špeciálne robiť nemusíš) Chcel by som aby sa bolo mozne automaticky prihlasit s viacerych pocitacov, tiez chcem aby sa to nedalo zneuzit nejakou manipulaciou cookies, ako toto popravde robim prvy krat... walther píše: Na md5 úplne zabudni a ešte úplnejšie zabudni na hashovanie hashov... co inde namiesto md5 pouzivat teda? pomocou md5 ukladam hesla, je nieco lepsie? // Spojený príspevok Pon 27.10.14 0:26chrono píše: Keďže to celé zakóduje, tak je úplne jedno, akú hash funkciu tam použije (ak tam teda použije rozumne zložitú šifru). pouzivam na to MCRYPT_RIJNDAEL_256, to som sa aspon docital ze je asi najlepsi algoritmus, neviem teda ci tomu tak skutocne je
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina | |
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 1:13 | |
|
Cize mozem pouzit funkciu ktoru ma php uz priamo v sebe, ci? http://php.net/manual/en/function.hash-pbkdf2.php
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Ak máš na serveri aspoň php 5.5.0, tak áno.
_________________ C#, PHP, ... |
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 1:19 | |
|
Hej mam, ale nerozumiem tomu, ako o sifrovani viem tolko a este na konci bodka proste je to absolutne mimo mna, ak pouzijem na salt $salt = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM); tak he vygenerovany hash vzdy iny, ako ho mozem porovnat s mojim heslom ktore sa mi prvy krat ulozilo do databazy, ked dalsie vygenerovanie je ine...tomu moc dobre nerozumiem. Vysledok md5() som mal ako porovnat s tym co som mal v db, ale teraz? si salt mam mat vzdy ten isty?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
V tom linku čo som dal je o hashovaní toho dosť popísaného, treba pokukať, ak ťa to zaujíma (prebehnúť by si to mal ale tak či tak, nech máš aspoň zhruba predstavu, keď chceš programovať takéto veci). https://crackstation.net/hashing-security.htmHej, salt je ten istý, ale pre každého usera iný. V tom linku sú odporúčania aj ohľadne tohto...
_________________ C#, PHP, ... |
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 1:38 | |
|
No hej, len to mi nejde ako tak na rozum. Ak mam preddefinovany salt s nejakou hodnotou, tak viem heslo overovat. Mas pre kazdeho usera iny, to by som este ako tak zvladol, ze k nejakemu predefinovanemu by som pridaval nejaky vygenerovany na zaklade hesla ktore zada, netusim, z toho mam uz fakt poriadnu hlavu, nechcem si tym po nejakom case odpalit vsetko kvoli niecomu a budu nefunkcne vsetky hesla apod...
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Príde user na stránku, zadá heslo. Vytvoríš si nejaký salt (je jedno aký, ale nemal by byť moc krátky). Salt zahashuješ a pomocou neho a zadaného hesla urobíš skombinovaný hash. K tomuto hashu pripojíš povedzme na koniec zahashovaný salt (napr, ide len o to, aby si použitý salt nestratil).
Napr: zadané heslo - jano tebou vygenerovaný náhodný salt - asfSľč24kfsfasf_daf zahashovaný salt: 2AS2#FFASkF$%HJJS
teraz skombinuješ jano + 2AS2#FFASkF$%HJJS a prejdeš hashovacou funkciou z toho ti vypľuje nejaký hash, napr. FAJFOJFHFMB35G39V
k tomuto pripojíš zahashovaný salt, takže výsledok v db bude v tomto prípade takýto: FAJFOJFHFMB35G39V2AS2#FFASkF$%HJJS
Keď príde user znovu a chce sa prihlásiť, znovu ti zadá heslo. Dostaneš napr správne heslo, teda "jano". Salt už negeneruješ, ten vytiahneš z toho uloženého reťazca v db. "Ako" je jednoduché - poznáš počet znakov výsledného hashu, takže vieš, odkiaľ pokiaľ je správny výsledný hash, a kde začína/končí salt. Vezmeš teda zadané heslo a salt, zahashuješ a porovnáš to proti správnemu výsledku (tj. tá prvá časť z db stringu).
_________________ C#, PHP, ... |
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 1:56 | |
|
Jasne, teraz som sa k tomu dostal na tej stranke ze ako na to, toto mi presne neslo do hlavy, ako mam utajnit aj hash aj salt ale teraz citam aj tam, ze salt nemusi byt tajny a mozem ho ukladat do databazy, no skusim sa s tym pohrat, aj ked md5() mi bolo jednoduchsie, ale aj tak si prerabam cele prihlasovanie skrz tej automatickej moznosti prihlasenia, tak to spravim cele nanovo vdaka za nakopnutie ze ako sa na to asi... // Spojený príspevok Pon 27.10.14 1:59Vsade citam ze je dobre mat nastavenych aspon 1000 iteracii, na nejakom webe som sa ale docital ze pocet iteracii je kazdy rok dobre zdvojnasobovat a k roku 2013 tusim tam niekto uviedol ze je dobre uz okolo 90000, tomu este ako nejak moc nerozumiem, 100000 je este v pohode, ale to mi pride ako blbost, to by mala byt pre mna asi konstanta s ktorou nebudem manipulovat ci ano? to by som potom mal aj toto ukladat ku kazdemu heslo do databazy zvlast aby som sa vedel k tomu dostat nie?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Počet iterácií býva nastavený ako konštanta.. Ibaže by si počítal s tým, že v budúcnosti to budeš chcieť meniť, ale je otázne, či treba byť až tak paranoidný... Na koľko presne to nastaviť je otázne a neviem, či na to existuje nejaká univerzálna odpoveď. Čím viac, tým lepšie, ale zároveň aj pomalšie. Ideálne by bolo asi vyskúšať, ako dlho bude trvať generovanie hashu na tvojom serveri a uvidíš, čo je akceptovateľné...
_________________ C#, PHP, ... |
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 2:24 | |
|
takze skusim otestovat, ved do 1 sekundy sa mozem zmestit, to nie je dlha doba a nemusim to riesit dlhsi cas aj tak sa to spracuvava len pri prihlasovani a registracii, ci zmene hesla, takze sa to da prezit asi ok vdaka za rady, este s tym isto otravim, ale uz tomu trosku viac chapem, uz ma aj oci z toho clanku bolia, jedna vec mi este nie je jasna, aj ty sa zmienujes aj v tom clanku ze mam spravit hash, tym sa mysli co presne, ako spravim salt viem, ale hash? ako nejakou beznou hash funkciou? ci mam k tomu vyuzivat pbkdf2? // Spojený príspevok Pon 27.10.14 2:28a este jedna vec co ma napadla, je lepsie pri pbkdf2 pouzivat lenght = 0 a nechat to na alkgoritme tej funkcie, alebo to mam sam nastavovat?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
Hashe urobíš práve pomocou pbkdf2 No hej, jedna sekunda nie je dlhá doba, ale zasa počítaj, že naraz na tej stránke nebude len jeden user (predpokladám) a pri registrácii vytváraš vlastne hash 2x, pri logine potom "len" raz. Pri webstránkach sa zvykne odporúčať okolo 10ms. (aspoň čo som sa zatiaľ dočítal)
_________________ C#, PHP, ... |
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 2:39 | |
|
Napr: zadané heslo - jano tebou vygenerovaný náhodný salt - asfSľč24kfsfasf_daf zahashovaný salt: 2AS2#FFASkF$%HJJS //toto spravim cez pbkdf2?
teraz skombinuješ jano + 2AS2#FFASkF$%HJJS a prejdeš hashovacou funkciou //toto spravim opet pbkdf2? z toho ti vypľuje nejaký hash, napr. FAJFOJFHFMB35G39V
k tomuto pripojíš zahashovaný salt, takže výsledok v db bude v tomto prípade takýto: FAJFOJFHFMB35G39V2AS2#FFASkF$%HJJS
// Spojený príspevok Pon 27.10.14 2:41
a este jedna vec co ma napadla, je lepsie pri pbkdf2 pouzivat lenght = 0 a nechat to na alkgoritme tej funkcie, alebo to mam sam nastavovat?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina | |
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 27.10.2014 12:49 | |
|
ok dik, idem sa teda tym este chvilu zaoberat, snad to spravim dobre // Spojený príspevok Pon 27.10.14 2:49inac ja som myslel ze md5() je este bezne pouzivana, dobre ze nerobim stranky ako na beziacom pase a ze je to len moja druha vec co sa snazim nakodit cele sam, asi by som mal vsade md5() mi to pride take jednoduche, ale tak uz ked som sa celkom dost venoval bezpecnosti vstupov a vsetkeho, tak by bolo asi smiesne mat hesla ulozene pomocou md5(), este tak vyriesit sifrovanie sprav medzi uzivatelmi aby som k tomu nemal ani ja ako prevaadzkovatel pristup, tak to by bolo uplne super, ale na to nemam uz kapacitu // Spojený príspevok Pon 27.10.14 4:27Cim dlhsia dlzka tym lepsie? skusil som 128, 512, 1024 a moc velky rozdiel v rychlosti tam nie je. Jedine v tej iteracii si na locale mozem dovolit pre obe hash_pbkdf2 zvolit 100000 a je to asi tak rychle ako na hostingu ked mam nastavenych 5000
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 04.11.2014 23:57 | |
|
Takze som to nejak zbastlil, chcem len vediet ci som na nieco nezabudol, popripade by sa to mozno dalo lepsie spravit, fakt netusim, mozno az moc paranoidne na to pozeram a zbytocne, neviem. Vymenil som vsetky md5 funkcie za pbkdf2 ako mi poradil walther. Uzivatel po prihlaseni moze zapnut automaticke prihlasovanie, ide mi o to aby sa dalo prihlasit z xy inych zariadeni sucasne a user o tom zaroven vedel, ze je prihlaseny zrovna na pocitaci, na mobile, na chladnicke... heslo ukladat do cookies bol fakt nezmysel ako napisal shaggy aj ked su cookies cele sifrovane, cize po zapnuti autoprihlasovania sa mi do tabulky ulozi id daneho profilu, datum vytvorenia, posledne prihlasenie cez cookies a vygenerovany token. Netusim ako riesit to, ze by niekto uchmatol cookies z ineho prehliadaca tak ma napadlo tam pridat $_SERVER['HTTP_USER_AGENT'], to je ukladane cez md5(), to mi pride asi zbytocne na to pouzivat cosi nove. Vsetky tieto informacie sa cez gzip skomprimuju a zasifruju mojim klucom a ulozia do cookies. Po prihlaseni sa cez cookies vsetko desifruje, rozbali a porovnaju data v tabulke, tiez sa overi momentalna informacia z $_SERVER['HTTP_USER_AGENT'] s tou ktora je ulozena v databaze a v cookies, ak sa nezhoduje tak prihlasenie sa neuskutocni, neviem ci je to zbytocnost, alebo to je pouzitelne, len ma to napadlo ak by niekto skopcil cookies z nejakeho pocitaca a chcel ich vyuzit na inom pocitaci, mozno sa to da lepsie vyriesit, snad niekto napise ako. Dalej sa overi id profilu a dany token a ked je vsetko splnene, tak uzivatela prihlasi, inac nie. Da sa to nejak lepsie a bezpecnejsie spravit? Ide mi hlavne o tu bezpecnost, aj kvoli tomu som tam pridal stlpec s poslednym prihlasenim aby som automaticky mohol mazat prihlasenia starsie ako x dni. Mozno to cele nejak komplikujem, neviem...
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 05.11.2014 10:08 | |
|
Naozaj potrebuješ ukladať do COOKIES čokoľvek iné ako SID? Aj tak musíš mať všetky potrebné údaje uložené na serveri, takže dávať ich aj do COOKIES ničomu nepomôže.
|
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 05.11.2014 14:06 | |
|
Ani neviem, chcem aby sa nedali nejak zneuzit, ono to je asi jedno nie? aj tak to je cele skomprimovane a zasifrovane, skor by ma zaujimalo ako zabranit tomu aby mohol niekto z pocitaca A skopirovat cookies na pocitac B a znefunkcnit moznost prihlasenia, ako docielit nieco take? $_SERVER['HTTP_USER_AGENT'] mi stacit asi isto nebude, mozno ukladat do db nejaky vkvazi odtlacok systemu, ktory by som mohol generovat asi len nejak obmedzene za pomoci $_SERVER[], ci je nejake dobre riesenie na to?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 05.11.2014 20:26 | |
|
Odtlačok systému je zbytočné robiť, pretože ak budem chcieť ukradnúť session, tak si v prvom rade zistím, čo presne sa posiela serveru a budem posielať úplne rovnaké údaje. Na internete je toho o "session hijacking" popísané dosť veľa a používajú sa rôzne techniky pre rôzne vektory útoku (napr. proti odpočúvaniu je najrozumnejšie použiť HTTPS). Proti tomu skopírovaniu pomôže napr. IP adresa, problém ale je, že sa môže meniť (hlavne na mobiloch), preto sa napr v phpBB dá nastaviť, aká časť IP adresy sa má používať. Ďalšia možnosť je meniť SID, takže SID bude časom neplatné pre útočníka alebo pre používateľa (a server v takom prípade môže vypísať upozornenie, že cez danú session pristupuje aj niekto iný). Možností je viac a pravdepodobne žiadne univerzálne a dokonalé riešenie neexistuje.
|
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 17.11.2014 20:49 | |
|
Pises ze si v prvom rade zistis co sa posiela serveru, ale to ako zistis, ked cookies sa ulozi komprimovane a zasifrovane mojim klucom ku ktoremu nemas pristup? Jedine ze by si ziskal obsah cookies co su v danom pc ulozene, z toho dovodu pouzijem https a tym padom ich nedokazes odchytavat. Tak? Odltacok ma napadal preto, ze snad asi som tymto sposobom zabranil manipulovat s cookies a teda ak by som tam mal odlatock systemu, tak keby niekto fyzicky skopiroval obsach cookies a chcel ich pouzit u seba na inom pocitaci, tak by mu to bolo na nic, lebo odtlacok systemu by musel mat tiez rovnaky. Blba myslienka? Overovat ip nechcem, mna sameho by to otravovalo ak by som bol na mobile a dostal novu ip a mna odhlasilo...
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 18.11.2014 11:26 | |
|
Zistím to tak, že sa pozriem, kde sa generujú údaje, ktoré sa potom pošlú serveru (či už cez cookies, alebo cez GET/POST, HTTP hlavičku...). Prípadne to ani nemusím analyzovať, stačí, ak tú tvoju javascript knižnicu použijem na mojej stránke a nechám si poslať potrebný odtlačok.
|
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 18.11.2014 14:14 | |
|
A co ked dany odtlacok doplnim zo strany php servera este o nejaku informaciu ku ktorej sa ty nedostanes?
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
Registrovaný: 13.11.07 Prihlásený: 20.08.16 Príspevky: 1702 Témy: 0 | Napísal chrono: 18.11.2014 15:35 | |
|
A na základe čoho by si generoval tú hodnotu na serveri? Na identifikáciu používateľa nemôžeš použiť cookies, pretože bez tej hodnoty nevieš, či tá session len nebola skopírovaná.
|
|
Registrovaný: 01.05.05 Príspevky: 13348 Témy: 1496 Bydlisko: Bratislava | Napísal autor témy JanoF: 18.11.2014 19:02 | |
|
No je to asi blbost, som asi moc paranoidny len som chcel co najlepsie zabezpecit ucet ako taky aj s automatickym prihlasovanim...
_________________ Streacom DA2 | SilverStone Titanium SX800-LTI 800W | ASRock X299E-ITX/ac | Intel Core i9-9980XE & be quiet! Dark Rock TF | Kingston HyperX Impact 64 GB DDR4 2666 MHz | NVIDIA Titan RTX 24 GB | Intel SSD Optane 905P 480 GB NVMe U.2 & Intel SSD 750 1,2 TB NVMe U.2 & Intel SSD 660p 2 TB NVMe M.2 & Seagate BackUp Plus Portable 56 TB USB | 55" 4K OLED Dell Alienware AW5520QF & 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech G603 | Logitech F710 | Harman Kardon Sabre SB 35 & Sennheiser RS 175 | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 | iPhone X 256 GB & Pitaka Aramid | SilverStone ML05B Milo | Corsair SF600 SFX 600W | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 & NOCTUA NH-L12S | Kingston HyperX Savage 32 GB DDR4 2400 MHz | NVIDIA GeForce GT 710 1 GB | Intel SSD Optane Memory 32 GB NVMe M.2 & Intel SSD 730 240 GB SATA | Ubuntu Server |
|
| Stránka: 1 z 1
| [ Príspevkov: 30 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| bezpecnost v PHP, ASP | 6 | 615 | 05.02.2008 16:27 p360t | | Bezpečnosť MYSQL v PHP, ASP | 2 | 563 | 15.03.2008 18:55 Tominator | | Bezpečnosť webu v Ostatné | 1 | 326 | 22.02.2016 19:08 chrono | | Bezpecnost stranky v PHP, ASP | 5 | 430 | 24.08.2013 22:04 shaggy | | bezpečnosť webu v PHP, ASP | 12 | 577 | 18.02.2013 15:18 PepperSK | | Bezpečnosť COOKIE v PHP, ASP | 17 | 1092 | 25.10.2008 14:02 Tominator | | Bezpečnosť videa v Krčma | 11 | 622 | 30.01.2012 9:39 TESLA | | akú bezpečnosť v Bezpečnosť a firewally | 18 | 2416 | 06.08.2007 13:05 Rbot | | SKYPE bezpečnosť v Sieťové a internetové programy | 3 | 1221 | 07.05.2010 15:32 tonky51 | | Bezpecnost routeru v Bezpečnosť a firewally | 1 | 738 | 28.11.2009 11:32 Jaro | | Bezpečnosť Windows v Antivíry a antispywary | 7 | 619 | 17.11.2015 13:33 shiro | | VB-bezpečnosť v Delphi, Visual Basic | 6 | 791 | 21.05.2009 11:41 Fico | | Bezpečnosť ICQ [ Choď na stránku: 1, 2 ] v Bezpečnosť a firewally | 30 | 5917 | 19.08.2007 23:09 piskvorko | | Bezpečnosť obrázkov v PHP, ASP | 8 | 612 | 10.01.2009 21:08 shaggy | | Ajax a bezpečnosť v JavaScript, VBScript, Ajax | 8 | 538 | 20.07.2010 18:54 camo | | Izreal/Jordánsko - bezpečnosť v Dovolenka, cestovanie a turistika | 5 | 697 | 12.05.2018 10:01 Xaltotun |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|