[ Príspevkov: 6 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.09.08
Prihlásený: 14.11.17
Príspevky: 225
Témy: 74 | 74
Bydlisko: Michalovce
NapísalOffline : 12.08.2013 11:41 | Bezpecnost stranky

Nazdarek. Hned na uvod sa ospravedlnujem ak som zvolil nespravnu sekciu. Mal by som 2 otazocky ohladom bezpecnosti (kodovania) stranky.

1. Pri tvorbe stranky pouzivam u registrovanych uzivatelov tzv. userID (uzivatelske ID) - teda nejaku cis. hodnotu pod ktorou je uzivatel registrovany a ulozeny v tabulkach databazy. Nasledne toto uzivatelske ID pouzivam napr. pri zobrazeni profilu uzivatela, vybere prispevkov, komentarov, fotiek atd. Cize toto uzivatleske ID sa zobrazuje v URL alebo aj napr. v JS funkciach. No nedavno som cital clanok, kde niekto pisal, ze je uplna hlupost ak je uzivatelske ID takto zobrazovane(viditelne). Preto sa chcem opytat, ci z hladiska bezpecnosti je to naozaj "nevhodny" spôsob ak v mojom pripade toto uzivatelske ID v ziadnej tabulke nema nastavenu hodnotu PRIMARY ani AUTO_INCREMENT.

2. Nedavno sa mi po nacitani mojej stranky (prehliadac FIREFOX) zacala zobrazovat hlaska: Toto pripojenie nie je dôveryhodné Preto by som sa chcel opytat, akym spôsobom, resp. co presne by malo byt obsiahnute v kode aby prehliadac vyhodnotil moju stranku ako dôveryhodnu, teda aby pripojenie na moju stranku bolo zabezpecene.
Privitam kazdu radu alebo link k tymto otazockam..Dakujem.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.08.09
Prihlásený: 08.07.15
Príspevky: 169
Témy: 46 | 46
NapísalOffline : 12.08.2013 13:57 | Bezpecnost stranky

ked je uzivatel prihlaseny na upravu a zobrazenie jeho vlastneho rpofilu mozes toto id ulozit do session. Na zobrazovanie ostatnych uzivatelov mozes pouzit toto id v url: profile.php?userid=ID v php toto mozes osetrit takto:
Kód:
 if (isset($_GET['userid']) && is_numeric($_GET['userid'])) return true; // ak by nebolo ciselne mozes uzivatela presmerovat niekde


2. myslim ze toto sa zobrazuje ak pouzivas SSL certifikat, ktory sa nezhoduje s domenou alebo je neplatny


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.09.08
Prihlásený: 14.11.17
Príspevky: 225
Témy: 74 | 74
Bydlisko: Michalovce
Napísal autor témyOffline : 12.08.2013 15:07 | Bezpecnost stranky

Este by som chcel doplnit, ze to uzivatelske ID nie je nahodne vygenerovany kluc a teda nemeni sa pri kazdom prihlaseni sa na stranku. Lebo som si vsimol, ze na niektorych domenach je po kazdom prihlaseni pre uzivatela vygenerovany nejaky "kluc", ktory je nasledne zobrazovany v URL alebo v JS funkciach. Preto ma zaujima ci prave priame zobrazovanie ID uzivatela nezvysuje riziko "hacknutia" stranky resp. uctu uzivatela.

K odpovedi na moju druhu otazku. Ja SSL certifikat nepouzivam, tak teraz celkom tomu nerozumiem.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.08.09
Prihlásený: 08.07.15
Príspevky: 169
Témy: 46 | 46
NapísalOffline : 12.08.2013 19:43 | Bezpecnost stranky

1. - ak tam budes mat is_numeric ochranu tak by sa to nemalo dat hacknut kedze php ta pusti dalej v scripte len ak je hodnota v $_GET ciselna.
- mozes si to id encryptovat napriklad cez base64 a potom zistovat ci je tento encryptovany string validny base64 a ci je decryptovana hodnota ciselna:

Kód:
$uid = 10;
$encode = base64_encode($uid);

function valid_base64($str)
   {
      if(base64_decode($str, true) && is_numeric(base64_decode($str)))
      {
          return true;
      }   else
      {
          return false;
      }
   }
   
var_dump(valid_base64($encode));


2. Ak to mas nahodene na nete tak posli odkaz, neviem co by to mohlo sposobovat


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 09.05.13
Prihlásený: 05.02.14
Príspevky: 4
Témy: 2 | 2
NapísalOffline : 24.08.2013 17:26 | Bezpecnost stranky

Preco by malo byt nebezpecne davat user_id do URLky ? Tym ze je v URL to IDecko pouzivatela maximalne moze niekto zistit ze user s takym ID existuje, nemoze ale zistit o nom ziadne udaje ani jeho heslo ani nic podobne. Ja by som sa skor zameral na dostatocne zabezpecenie session a cookies. A okrem toho ako ste pisali o tej funkcii is_numeric(), podla mna je lepsia funkcia is_int() resp takyto kod ...
Kód:
$user_id = 123; // toto sa ziska napr. z databazy
$user_id_is_valid = ((string)(int)$user_id == ((string)$user_id));


Ak by ste pouzili is_numeric() alebo is_int() tak ...
Kód:
$user_id = "123"; // string
is_int($user_id) // FALSE !!!

... ale ...
Kód:
$user_id = "123"; // string
$user_id_is_valid = ((string)(int)$user_id == ((string)$user_id)); // TRUE !


Zalezi od situacie, ak je na 100% iste ze $user_id je cislo tak by som pouzil is_int().


Offline

Čestný člen
Čestný člen
Bezpecnost stranky

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 24.08.2013 22:04 | Bezpecnost stranky

peryglux - najprv napíšeš, že predávanie user_id v URL je ok a potom mu dáš príklad, ktorý mu fungovať nebude (ten druhý kód).
Ak by to id totiž vyťahoval z URL (napr. cez $_GET['user_id']), tak to bude vždy string a tým pádom is_int bude false (aj keď to z pohľadu db bude v poriadku).


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
 [ Príspevkov: 6 ] 


Bezpecnost stranky



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

nenacitava stranky, najma stranky.com;po restarte nacita

v Sieťové a internetové programy

2

300

17.03.2012 20:17

Siriuse

V tomto fóre nie sú ďalšie neprečítané témy.

bezpecnost

v PHP, ASP

6

369

05.02.2008 16:27

p360t

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť Windows

v Antivíry a antispywary

7

232

17.11.2015 13:33

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť videa

v Krčma

11

378

30.01.2012 9:39

TESLA

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost routeru

v Bezpečnosť a firewally

1

472

28.11.2009 11:32

Jaro

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť obrázkov

v PHP, ASP

8

320

10.01.2009 21:08

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

SKYPE bezpečnosť

v Sieťové a internetové programy

3

998

07.05.2010 15:32

tonky51

V tomto fóre nie sú ďalšie neprečítané témy.

bezpečnosť webu

v PHP, ASP

12

233

18.02.2013 15:18

PepperSK

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť $_COOKIE

v PHP, ASP

29

346

18.11.2014 19:02

JanoF

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť webu

v Ostatné

1

114

22.02.2016 19:08

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost $_POST

v PHP, ASP

26

666

15.01.2015 23:57

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť COOKIE

v PHP, ASP

17

798

25.10.2008 14:02

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

akú bezpečnosť

v Bezpečnosť a firewally

18

2077

06.08.2007 13:05

Rbot

V tomto fóre nie sú ďalšie neprečítané témy.

VB-bezpečnosť

v Delphi, Visual Basic

6

581

21.05.2009 11:41

Fico

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť ICQ

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Bezpečnosť a firewally

30

5528

19.08.2007 23:09

piskvorko

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť MYSQL

v PHP, ASP

2

375

15.03.2008 18:55

Tominator



© 2005 - 2017 PCforum, edited by JanoF