Jelszó-név az index file-ban + biztonság
2011-05-13T10:56:44+02:00
2011-05-13T11:56:04+02:00
2022-07-19T05:06:55+02:00
  • Na, erre lettem volna kíváncsi, hogy ez akkor mindenképpen alap megoldásnak számít. Azért gondoltam ezt a megoldást, mert regisztrációnál, több felhasználónál nyilván csak adatbázis kerülhet szóba, de gondoltam egy felhasználónál elég lehet ez is. De akkor ezek szerint az ftp-feltörés miatt ez mindenképpen amatőr. Szóval nálad a pont, már csak azt nem fogom megtudni, hogy hogyan kell a root-on kívülre tenni bármit is Kösz mindenkinek, árnyék válaszában volt a legtöbb infó és útmutatás!
    Mutasd a teljes hozzászólást!
  • Márpedig én jelszót nem teszek php file-ba sem. Sem titkosítva, se sehogy másként. Ha valakinek annyira van csak szüksége, hogy a bedrótozott jelszó elég, annak tök fölösleges nagyon túlspilázni a védelmet. Amennyiben ftp hozzáférést feltörik (ami csak a prog.hu-s témákat nézegetve elég gyakran megesik), akkor tök mindegy, hogy a file-ba drótozott jelszót milyen hash védi és hogy a wwwroot alatt van vagy azon kívül.

    @kérdező:
    Árnyék: mit értesz az alatt, hogy Ha ugyanis neked elég ez a megoldás?


    Azt értem alatta, ha úgy ítéled meg, hogy tök fölösleges egy normális, db alapú beléptetőt használni, akkor nyilván a vélemyényed szerint nincs nagy kockázata az oldal feltörésének, tehát teljesen felesleges a jelszó védelmére nagy figyelmet fordítani. Ha meg úgy ítéled meg, hogy a védelem mégiscsak fontos, akkor felejtsed el ezt a felállás, használj db-t és normális jelszó hash-elést sózással megspékelve. Röviden: döntsed el, hogy mit is akarsz.
    Mutasd a teljes hozzászólást!
  • Az adatok php file-ban vannak, szóval ez teljesül.
    Árnyék: mit értesz az alatt, hogy
    Ha ugyanis neked elég ez a megoldás
    ? Azt, hogy nem kell, hogy regisztrációs felületet és a bejelentkezési adatok módosítását biztosítani? Vagy mást? És ha jól értem, szerinted root-on kívülre sem érdemes tenni?

    djjjozsi: azt tényleg nem tudom, hogy kell root-on kívülre tenni. Kevésszer töltöttem fel honlapot, ott nem az van, hogy én csak oda tölthetek fel adatot? Nyilván nem, mert különben nem írnád, de jó lenne tudni:)
    Mutasd a teljes hozzászólást!
  • Márpedig én jelszót sosem írok le cleartextben. (lehet, hogy csak felesleges beidegződés)
    Mutasd a teljes hozzászólást!
  • (egyszer) egy szolgáltatónál probléma lépett fel, a PHP fájlba írt PHP kimenetet egy az egybe kirakta mintha HTML kód lenne.
    Ilyen bakikra mindig kell számítani. Ilyen esetben a titkosított jelszót kevésbé tudják kihasználni, és nem kerül semmibe előállítani. Ellenben ha egy wwwroot-on kívülről hívod be a config állományt amiben a jelszó van, nem látni semmit sem.
    Mutasd a teljes hozzászólást!
  • Igen, ezt jelenti a bedrótozás és nem, nem értek egyet plip-pel. Ha ugyanis neked elég ez a megoldás (mármint a bedrótozás) bármilyen oknál fogva, akkor a weboldalad egyszerűen nem ér meg nagyobb erőfeszítést védelem szempontjából. Csak arra figyelj, hogy a jelszót tartalmazó file php file-ban legyen, hogy ha weben keresztül le akarják tölteni, akkor a webszerver átfutassa a php értelmezőn és ezáltal a kimenetben ne jelenjen meg a jelszó tartalma. Ha már közvetlenül hozzáfér valaki a filerendszerhez, akkor meg a legjobban védett jelszó sem jelent többet biztonságot.
    Mutasd a teljes hozzászólást!
  • Bocsánat kezdő vagyok... Szóval a bedrótozva azt jelenti, hogy file-ban ki van írva? Most így van kb. az index.php-ben:

    if (isset($_POST['nev']) and $_POST['nev']='nev' and $_POST['jelszo']='jelszo) {$_SESSION['belep']=1;}

    Azt nem értem, hogy az már rég rossz, ha ehhez a file-hoz hozzáférnek, vagy nem? Ha meg nem férnek hozzá, miért kell titkosítanom?

    S sajnos azt sem tudom, hogy hogyan kell a root-on kívül helyezni!? S ha kívül helyezem, akkor include-olom?
    Mutasd a teljes hozzászólást!
  • Ha a fájlba is van bedrótozva a jelszó, mindenképpen kódold pl. md5-tel, de én pl. kiraknám dokumentrooton kívülre.
    Mutasd a teljes hozzászólást!
  • Sziasztok,

    első olyan weboldalamat készítem, ahol admin felület is van. A honlap nagyon egyszerű, egy embernek kell tudnia szerkesztenie. Elsőre úgy csináltam, hogy az admin felület index.php file-jába írtam a felhasználónevet és a jelszót. Ha létezik a belépés session-je, akkor a szerkesztő felületet, ha nem, akkor a belépés formját mutatja. Ha valaki elküldi a felhasználónevet és a jelszót, a program megvizsgálja, hogy egyezik-e minden és létrehozza a belépés session-jét. A honlap valószínűleg nem lesz támadások középpontjában, de azért nem szeretném, ha átjáróház lenne. A kérdésem az lenne, hogy van-e ebben a megoldásban valami alapvető biztonsági rés. Sql-injection itt nem játszik, hiszen nem adatbázisban tárolom az adminisztrátor adatait, de kell-e védekeznem más típusú támadás ellen (pl. tiltani a próbálkozások számát valahogy a robotok ellen)

    Előre is kösz!
    Mutasd a teljes hozzászólást!
abcd