|
| Session sikkerhed Fra : Henrik Stidsen |
Dato : 15-03-04 00:33 |
| | |
Michael Rasmussen (15-03-2004)
| Kommentar Fra : Michael Rasmussen |
Dato : 15-03-04 00:42 |
|
On Sun, 14 Mar 2004 23:33:03 +0000, Henrik Stidsen wrote:
> Er det helt hen i vejret at lave et login-system der er baseret på at
> brugernavn og password gemmes i en session og session ID gemmes i en
> cookie ?
Så længe du blot husker at kryptere password på klienten, kan jeg ikke
se nogen problemer her - jeg antager, vi ikke taler om et webbaseret
banksystem etc.
Der findes impletationer til stort set alle krypteringsalgoritmer, skrevet
i javascript her: http://pajhome.org.uk/crypt/index.html
--
Hilsen/Regards
Michael Rasmussen
--------------------------------------------------------------
Increased knowledge will help you now. Have mate's phone bugged.
| |
Henrik Stidsen (15-03-2004)
| Kommentar Fra : Henrik Stidsen |
Dato : 15-03-04 00:57 |
|
Michael Rasmussen <mir@miras.org> wrote in
news:pan.2004.03.14.23.41.49.433688@miras.org
>> Er det helt hen i vejret at lave et login-system der er baseret
>> på at brugernavn og password gemmes i en session og session ID
>> gemmes i en cookie ?
> Så længe du blot husker at kryptere password på klienten, kan
> jeg ikke se nogen problemer her - jeg antager, vi ikke taler om
> et webbaseret banksystem etc.
Gemmes session informationerne ikke på serveren ? - så er det vel
session ID der skal krypteres ?
--
..: Henrik Stidsen - http://hs235.dk/ - http://hs235.dk/blog/ ::...
http://såkadulæredet.dk/ => http://xn--skadulredet-x8as.dk/
| |
Michael Rasmussen (15-03-2004)
| Kommentar Fra : Michael Rasmussen |
Dato : 15-03-04 01:31 |
|
On Sun, 14 Mar 2004 23:57:16 +0000, Henrik Stidsen wrote:
>
> Gemmes session informationerne ikke på serveren ? - så er det vel
> session ID der skal krypteres ?
Det kan du godt gøre, men jeg går ud fra, at dine brugere skal indtaste
et brugernavn og password, når de starter sessionen? Bliver denne
information ikke krypteret, bliver det sent i klar tekst over nettet. At
hijacke en sissions ID mener jeg er svært, hvis det blot husker at
nedlægge sessionen, når brugerne logger af, eller går videre til en
anden webside - <body onload="login" onunload="logout">
--
Hilsen/Regards
Michael Rasmussen
--------------------------------------------------------------
There is a fly on your nose.
| |
Henrik Stidsen (15-03-2004)
| Kommentar Fra : Henrik Stidsen |
Dato : 15-03-04 15:58 |
|
Michael Rasmussen <mir@miras.org> wrote in
news:pan.2004.03.15.00.31.04.993580@miras.org
>> Gemmes session informationerne ikke på serveren ? - så er det
>> vel session ID der skal krypteres ?
> Det kan du godt gøre, men jeg går ud fra, at dine brugere skal
> indtaste et brugernavn og password, når de starter sessionen?
> Bliver denne information ikke krypteret, bliver det sent i klar
> tekst over nettet. At hijacke en sissions ID mener jeg er svært,
> hvis det blot husker at nedlægge sessionen, når brugerne logger
> af, eller går videre til en anden webside - <body onload="login"
> onunload="logout">
At brugernavn/password bliver sendt i klar tekst er det svært at gøre
så meget ved uden at skulle bruge https og det har jeg ikke til
rådighed. At lave noget med at der føler en tmp variabel med når
siden hentes og der så baseret på denne og passwordet skal laves en
form for hashing som sendes til serveren er vist lidt overkill til
det her formål.
Jeg går ud fra du mener at hijacke et session id _i en cookie_ - hvis
det er i et link er det ikke så svært, f.eks. kan det medsendes som
link.
--
..: Henrik Stidsen - http://hs235.dk/ - http://hs235.dk/blog/ ::...
http://såkadulæredet.dk/ => http://xn--skadulredet-x8as.dk/
| |
Mads Lie Jensen (15-03-2004)
| Kommentar Fra : Mads Lie Jensen |
Dato : 15-03-04 22:18 |
|
On Mon, 15 Mar 2004 14:58:02 +0000 (UTC), Henrik Stidsen
<nospamforme@hs235.dk> wrote:
>At brugernavn/password bliver sendt i klar tekst er det svært at gøre
>så meget ved uden at skulle bruge https og det har jeg ikke til
>rådighed. At lave noget med at der føler en tmp variabel med når
I phpMagazine var der en artikel om noget sikring af formular-data via
en pear-klasse.
Jeg forstod ikke helt hvordan det fungerede dengang jeg læste det, men
artiklen er online, så du kan jo evt. tage et kig selv:
http://www.php-mag.net/itr/online_artikel/psecom,id,451,nodeid,114.html
--
Mads Lie Jensen - mads@gartneriet.dk - ICQ #25478403
http://www.gartneriet.dk
Kig også ind på http://hjoerringnyplanteskole.dk/
| |
Henrik Stidsen (15-03-2004)
| Kommentar Fra : Henrik Stidsen |
Dato : 15-03-04 22:44 |
| | |
Michael Rasmussen (15-03-2004)
| Kommentar Fra : Michael Rasmussen |
Dato : 15-03-04 22:54 |
|
On Mon, 15 Mar 2004 21:43:45 +0000, Henrik Stidsen wrote:
>
> Ser ud til at være rimelig forståeligt, og der er i hvert fald godt med
> kodeeksempler!
>
> Tror jeg vælger den løsning.
Det ser fornuftigt ud - det er identisk med den løsning, jeg
sendte til dig
Hovedsagen er, at der ikke sendes væsentlige informationer i klar tekst.
Skal sikkerheden øges, skal du benytte sha-algoritmen fra det link, jeg
sendte til dig. Du vil så have samme sikkerhedsniveau, som det der findes
i de danske home banking løsninger Nok lidt overkill?!
--
Hilsen/Regards
Michael Rasmussen
--------------------------------------------------------------
If one cannot enjoy reading a book over and over again, there is no use
in reading it at all.
-- Oscar Wilde
| |
Henrik Stidsen (16-03-2004)
| Kommentar Fra : Henrik Stidsen |
Dato : 16-03-04 01:17 |
|
Michael Rasmussen <mir@miras.org> wrote in
news:pan.2004.03.15.21.53.29.587597@miras.org
>> Tror jeg vælger den løsning.
> Det ser fornuftigt ud - det er identisk med den løsning, jeg
> sendte til dig
Bare bedre forklaret IMHO :)
> Hovedsagen er, at der ikke sendes væsentlige informationer i
> klar tekst. Skal sikkerheden øges, skal du benytte
> sha-algoritmen fra det link, jeg sendte til dig. Du vil så have
> samme sikkerhedsniveau, som det der findes i de danske home
> banking løsninger Nok lidt overkill?!
Temmelig meget overkill eftersom det "bare" skal bruges til login på
et CMS system til en lille side :)
--
..: Henrik Stidsen - http://hs235.dk/ - http://hs235.dk/blog/ ::...
http://såkadulæredet.dk/ => http://xn--skadulredet-x8as.dk/
| |
Michael Rasmussen (15-03-2004)
| Kommentar Fra : Michael Rasmussen |
Dato : 15-03-04 22:27 |
|
On Mon, 15 Mar 2004 14:58:02 +0000, Henrik Stidsen wrote:
> At brugernavn/password bliver sendt i klar tekst er det svært at gøre
> så meget ved uden at skulle bruge https og det har jeg ikke til
> rådighed. At lave noget med at der føler en tmp variabel med når siden
> hentes og der så baseret på denne og passwordet skal laves en form for
> hashing som sendes til serveren er vist lidt overkill til det her formål.
>
Det link jeg sendte tidligere, er eller ikke noget problem at anvende.
> Jeg går ud fra du mener at hijacke et session id _i en cookie_ - hvis
> det er i et link er det ikke så svært, f.eks. kan det medsendes som
> link.
Joe, men hvis du kobler det sammen med et ip-nummer, skulle du vel være
nogenlunde sikret.
--
Hilsen/Regards
Michael Rasmussen
--------------------------------------------------------------
You will contract a rare disease.
| |
Henrik Stidsen (15-03-2004)
| Kommentar Fra : Henrik Stidsen |
Dato : 15-03-04 22:42 |
|
Michael Rasmussen <mir@miras.org> wrote in
news:pan.2004.03.15.21.26.57.688532@miras.org
>> At brugernavn/password bliver sendt i klar tekst er det svært
>> at gøre så meget ved uden at skulle bruge https og det har jeg
>> ikke til rådighed. At lave noget med at der føler en tmp
>> variabel med når siden hentes og der så baseret på denne og
>> passwordet skal laves en form for hashing som sendes til
>> serveren er vist lidt overkill til det her formål.
>>
> Det link jeg sendte tidligere, er eller ikke noget problem at
> anvende.
Jeg kiggede på det, det så meget godt ud men jeg syntes ikke jeg
kunne finde noget at gå ud fra - er ikke ligefrem god til
javascript...
>> Jeg går ud fra du mener at hijacke et session id _i en cookie_
>> - hvis det er i et link er det ikke så svært, f.eks. kan det
>> medsendes som link.
> Joe, men hvis du kobler det sammen med et ip-nummer, skulle du
> vel være nogenlunde sikret.
Alt efter hvordan man kobler det sammen med IP nummeret vil jeg enten
hade løsningen eller bruge den...
Da jeg selv sidder på et netværk der skifter tilfældigt mellem 6
forskellige IP'er skal det i hvert fald ikke være baseret på at IPen
ikke skifter undervejs...
--
..: Henrik Stidsen - http://hs235.dk/ - http://hs235.dk/blog/ ::...
http://såkadulæredet.dk/ => http://xn--skadulredet-x8as.dk/
| |
|
|