Filip Tomaszewski

Filip Tomaszewski Wspólnik, PGS
Pracownia Gier
Szkoleniowych
(www.pracownia...

Temat: autoryzacja PHPAUTH - czy jest bezpieczna?

Witam,

Projektuję właśnie aplikację do obsługi To-Do list oraz bazy klientów mojej firmy. Robię to pod PHP i mysql.
Zabezpieczyłem ją przy pomocy phpauth.
Mam w związku z tym pytanie o stopień bezpieczeństwa tej metody. Na co powinienem zwrócić uwagę, żeby ograniczyć ryzyko włamania się?
I w ogóle, na jakie sposoby można się do czegoś takiego włamać?
Przychodzi mi do głowy tylko kilka opcji:
- poznanie hasła użytkownika (to jest czynnik ludzki, przed którym trudno jest się uchronić)
- włamanie się na serwer (należy do profesjonalnej firmy hostingowej)

Czy istnieje możliwość przechwycenia danych transmitowanych przez użytkownika, który korzysta z bazy?
Dariusz Żukowski

Dariusz Żukowski [keczerad]
Programista z
zamiłowania.

Temat: autoryzacja PHPAUTH - czy jest bezpieczna?

Filip T.:
Witam,

Projektuję właśnie aplikację do obsługi To-Do list oraz bazy klientów mojej firmy. Robię to pod PHP i mysql.
Zabezpieczyłem ją przy pomocy phpauth.
Mam w związku z tym pytanie o stopień bezpieczeństwa tej metody. Na co powinienem zwrócić uwagę, żeby ograniczyć ryzyko włamania się?
I w ogóle, na jakie sposoby można się do czegoś takiego włamać?
Przychodzi mi do głowy tylko kilka opcji:
- poznanie hasła użytkownika (to jest czynnik ludzki, przed którym trudno jest się uchronić)
- włamanie się na serwer (należy do profesjonalnej firmy hostingowej)

Czy istnieje możliwość przechwycenia danych transmitowanych przez użytkownika, który korzysta z bazy?

zawsze istnieje jakies nie bezpieczenstwo, ale moim zdniem taka autoryzacja jest nie wygodna dla uzytkownika, bardziej user-friendly jest zrobienie formularza autoryzacyjnego.

konto usunięte

Temat: autoryzacja PHPAUTH - czy jest bezpieczna?

Filip T.:
Czy istnieje możliwość przechwycenia danych transmitowanych przez użytkownika, który korzysta z bazy?

Możliwość zawsze istnieje więc wszystkie dane autoryzacyjne powinny być przesyłane w formie zaszyfrowanej. Nie bez znaczenia jest również filtrowanie danych wejściowych.

Polecam szczególnie lekturę tego: http://forum.php.pl/index.php?showtopic=30056

oraz tego

http://forum.php.pl/index.php?showtopic=23258Adam Piotrowski edytował(a) ten post dnia 15.06.07 o godzinie 12:01
Michał Ławicki

Michał Ławicki dostawca zadowolenia

Temat: autoryzacja PHPAUTH - czy jest bezpieczna?

Zapewne skrypt ten trzyma dane użytkowników w sesji, tak więc jeśli chcesz poznać niebezpieczeństwo tego mechanizmu zapoznaj się z artykułem, który ostatnio popełniłem -> Bezpieczeństwo mechanizmu sesji.

konto usunięte

Temat: autoryzacja PHPAUTH - czy jest bezpieczna?

[author]Michał
Michał Ławicki

Michał Ławicki dostawca zadowolenia

Temat: autoryzacja PHPAUTH - czy jest bezpieczna?

już działa ;-)
Grzegorz Kiersznowski

Grzegorz Kiersznowski IT Manager @
Autentika

Temat: autoryzacja PHPAUTH - czy jest bezpieczna?

Nie wiem czy twoj projekt to umożliwi ale może wykorzystaj sprawdzone .htpasswd i .htaccess?



Wyślij zaproszenie do