Új hozzászólás Aktív témák

• #15218 Jim-Y veterán Flashback #15211

  Új Válasz 2016-07-16 11:22:20 #15218

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Jim-Y

  veterán

  válasz Flashback #15211 üzenetére

  Böngészés közben neked nem kell ezeket letárolni. Ahogy a többiek is írták, session cookie-t kell generálnod belépéskor amit a böngésző el fog tárolni, nyílván beállítasz neki egy expiration time-ot ami az inaktivitás miatt kell. Ha teszem azt 5 percig nem csinál semmit a user akkor letelik a session cookie időtartama és kilépteted a usert, hogy autentikálja magát újra. A jelszavakat hashelve és saltolva KELL tárolnod és egy moder kriptográfiai algoritmust kell használnod. Jelenleg az Argon2 az ajánlott de minimum egy bcrypt. Én ajánlom, hogy opcionálisan tegyél elérhetővé 2 faktoros autentikációt is. Egy SMS validation-t összehozni tényleg nem nagy kunszt, elég egyszerű már manapság és mégis elég frankó feature

  Ha az alapvető biztonsági dolgok iránt érdeklődsz akkor a minimum amit olvass el az az OWASP Top10 cheat sheet. Most ezt úgy kell nézni, hogy ide azok a sebezhetőségek vannak felsorolva amik manapság leginkább előfordulnak nem védett weboldalak esetén. Ezekkel érdemes foglalkozni. Pl látod, hogy az első a listában az Injection, akkor erről tudsz bővebben már olvasni, hogy hogyan lehet ellene védekezni. Pl SQL Injection ellen prepared statementekkel, meg input sanitizationnel stb..

  Amikor a user beírja a jelszavát, vagy regisztrál akkor ezeket a credentialöket SSL-en keresztül kell a szerverre eljuttatni és ott rögtön hashelni kell.

  Linkek:
  https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
  https://www.owasp.org/index.php/Authentication_Cheat_Sheet

Új hozzászólás Aktív témák