Page 2 of 2 FirstFirst 12
Results 21 to 26 of 26

Thread: Securizarea codului în PHP

  1. #21
    Uber Mood johnake's Avatar
    Join Date
    Oct 2007
    Location
    Cum dai coltu', pe dreapta
    Posts
    4,844
    Blog Entries
    4

    Default

    Exemplele de mai sus sunt triviale întrucât sunt x-şpe mii de scenarii prin care poţi fi atacat. Pentru a salva ceva timp în procesul de development, chiar şi programatorii experimentaţi omit anumite lucruri de bun simţ în securizarea aplicaţiei la care lucrează.
    Eu nu-mi câştig pâinea din programare, însă m-am lovit de script-uri scrise de oameni care se considerau guru în PHP iar eu un ageamiu le patchuiam anumite părţi de cod care erau foarte prost construite dpdv al securităţii.
    De-aia e cel mai bine să faci pe prostu şi să înveţi cât mai multe, decât să faci pe deşteptu şi să rămâi un prost.
    I don't have any beliefs or allegiances. I don't believe in this country, I don't believe in religion, or a god, and I don't believe in all these man-made institutional ideas.

    George Denis Patrick Carlin (May 12, 1937 – June 22, 2008)

  2. The Following 2 Users Say Thank You to johnake For This Useful Post:

    Stiglitz (06-19-2010), tastatura (03-10-2010)

  3. #22
    Feel the Groove digitech's Avatar
    Join Date
    Jan 2009
    Location
    Romania, Galati
    Posts
    340

    Default

    filelist.ro :: Login
    Mai sus aveti un tutorial la un bug care va poate distruge trackerul.

  4. #23
    Uber Mood johnake's Avatar
    Join Date
    Oct 2007
    Location
    Cum dai coltu', pe dreapta
    Posts
    4,844
    Blog Entries
    4

    Default Cineva mi-a furat “prăjitura” – sau cookie theft

    Cineva mi-a furat “prăjitura” – sau cookie theft

    Unul din riscurile asociate cu utilizarea cookie-urilor este acela ca ele pot fi furate de către un atacator (“Hey, who the f*ck stole my cookies?”). În cazul în care identificatorul sesiunii este stocat într-un cookie, atunci mai mult ca sigur o să fii supus la hijacking de sesiuni.
    In figura următoare puteți observa cum PHP prelucrează complexitatea managementului de sesiuni pentru voi


    Două dintre cele mai cunoscute cauze ale furtului de cookie-uri le reprezintă vulnerabilitățile browserului și cross-site scripting (XSS).
    Deși vina pentru vulnerabilitățile browserelor nu o au web-developerii, poți implementa anumite soluții care elimină sau micșorează riscul sau îți poți educa utilizatorii să fie la curent cu ultimele patch-uri ale browserelor folosite.
    Cross-site scripting-ul este o metodă mai uzuală folosită de atacatori pentru a fura cookie-uri. Deoarece scripturile sunt executate pe partea de client, ele au acces la cookie-uri, așa că tot ce e de făcut din partea unui atacator este să scrie un script care să-i servească aceste informații.
    În concluzie, protejarea utilizatorilor „de cookie theft” presupune o combinație de a evita cross-site scripting-ul și detectarea browserelor cu vulnerabilități de securitate.

    Datele din sesiuni expuse

    Datele din sesiuni sunt adeseori compuse din informații personale si alte date sensibile. Din acest motiv, expunerea datelor din sesiuni este o problemă obișnuită. În genere, expunerea este minimă, pentru locul de stocare al datelor din sesiuni este pe server, fie într-o bază de date, fie într-un sistem de fișiere. De aceea, de obicei datele din sesiuni nu sunt expuse publicului.

    Folosirea SSL-ului este o metodă destul de obișnuită de a minimiza expunerea datelor transmise între client și server, iar acest lucru este foarte important pentru aplicațiile care fac schimb de date sensibile cu clientul. SSL-ul asigură un strat de securitate în dedesubtul HTTP, pentru ca datele din requesturile și răspunsurile HTTP să fie protejate.

    Dacă te îngrijorează cum sunt stocatele datele din sesiuni, le puteți cripta astfel încât datele din sesiuni nu pot fi citite decât cu cheia de criptare potrivită. În PHP puteți realiza acest lucru cu ajutorul funcției session_set_save_handler( ) și pe lângă aceasta, cu scrierea unor funcții proprii de stocare și de regăsire a datelor din sesiuni care criptează datele care sunt scrise și decriptează datele care sunt citite.

    [...] to be continued.
    I don't have any beliefs or allegiances. I don't believe in this country, I don't believe in religion, or a god, and I don't believe in all these man-made institutional ideas.

    George Denis Patrick Carlin (May 12, 1937 – June 22, 2008)

  5. #24

    Default

    Nu sunt de acord cu folosirea sesiunilor desi e o idee buna, pe motivul ca doar complica mult codul si face dificil sa folosesti acelasi cont pe mai multe calculatoare de ex calculatorul principal si un seedbox - cand te loghezi acasa, se pierde autentificarea pe seedbox si invers.
    In plus, incarci serverul cu datele din acel session, o gramada de lookup-uri si citiri de pe disc a datelor salvate si este locking pe fisierele de session deci daca doi useri acceseaza simultan site-ul pot aparea delays ... samd.

    Poti foarte bine sa stochezi intr-un cookie o pereche userid :: hash(password + ip + o cheie generata random pt fiecare cont in parte) - atunci chiar daca cineva fura cookie-ul, nu va putea sa se logheze de pe alt ip.

    Daca tot prefera cineva sa foloseasca sesiuni, sa citeasca mai intai astea:

    Optimizing dynamic performance with sessions in PHP | TechRepublic
    Enhance PHP session management
    PHP Sessions – Files vs Database Based - MySQL Performance Blog
    Last edited by Penemue; 01-19-2012 at 12:25 AM.
    Buzzwords Ltd, unregistered company in England, Whales and Dolphins
    Value-added, synergistic forward thinking outside of the box solutions for the discerning employer with core competency metrics - touch base or ping us for more information on how you can improve your customer facing intuitive interfaces, transition your e-business mindshare, incentivize revolutionary technologies and evolve e-business solutions.

  6. #25

    Default

    @cookie theft / XSS
    session_set_cookie_params httponly true => face XSS cel putin impractic

  7. #26
    Uber Mood johnake's Avatar
    Join Date
    Oct 2007
    Location
    Cum dai coltu', pe dreapta
    Posts
    4,844
    Blog Entries
    4

    Default

    Mulțumim frumos de avertizare, conrad!
    I don't have any beliefs or allegiances. I don't believe in this country, I don't believe in religion, or a god, and I don't believe in all these man-made institutional ideas.

    George Denis Patrick Carlin (May 12, 1937 – June 22, 2008)

Similar Threads

  1. Replies: 10
    Last Post: 06-30-2010, 02:49 PM
  2. Replies: 19
    Last Post: 07-16-2009, 05:14 PM

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •