Inlogg, användare, säkerhet

PHPportalen Forum Index » PHP
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
marcusgarden



Medlem i: 3199 dagar

Status: Offline



#742008
Inlägg Skrivet: 2017-11-27 00:33      Ämne: Inlogg, användare, säkerhet Citera

Hej igen!

Tänkte försöka mig på att stoppa in någon typ av inlogg och sessionshantering på min sida:)

Sökning på denna sida ger en del info, google ger mycket info, men som vanligt säger en del "si" och en del säger "så".

Det är ju helt ok men undrar nu om vad de senaste rönen säger om just säkerhet? Vad ska man använda? Räcker det med http://php.net/manual/en/features.http-auth.php eller ska man kräma på med något mer med t.ex. bcrypt, salt, annat?

Hittar en del script/classer som ser intressanta ut men då jag är grön på detta så frågar jag innan jag görSmile

Information mottages tacksamt!
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4660 dagar
Från: Tavesta
Status: Offline



#742009
Inlägg Skrivet: 2017-11-27 05:35      Ämne: Citera

Du behöver alltid skydda dig mot att lösenordet når tredje part.
Om det är serveradmin som väljer lösenord blir det hela mycket enklare, eftersom serveradmin då inte behöver räknas som tredje part. Han vet ju redan lösenordet och kan hacka sidan hur mycket han vill i alla fall.
Risken att samma lösenord används på annat håll minskar betydligt. Framför allt om man väljer krångliga lösenord
Då är det viktigaste att lösenorden inte går att nå via något webbgränssnitt eller liknande.

Om användaren väljer lösenord så måste även serveradmin skyddas från att se lösenordet, eftersom det finns en viss risk att användaren har valt samma lösenord på annat håll.
Om lösenorden kommer på vift kan skadan bli mycket större än att bara omfatta din site.
För att spara lösenord är envägskryptering det rekommenderade. T.ex hash + salt

För att skydda mot avläsning på vägen mellan webbläsare och webbserver bör man använda ssl (https:)

För att skydda mot avläsning bakom ryggen så bör man ha en lösning som inte visar för mycket av lösenordet på skärmen när man matar in. T.ex input type="password"
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » PHP
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic