- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Linux Mint
- Kaspersky Antivirus és Internet Security Fórum
- Itt van az eddig legjobban teljesítő kétfiókos NAS a TerraMastertől
- ASUS routerek
- Az EU szerint a ChatGPT még mindig nem felel meg a szabványoknak
- Kiderült, hogy hol veszik a legtöbb kínai EV-t
- Windows 11
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Windows 10
Új hozzászólás Aktív témák
-
Phvhun
őstag
válasz Flashback #15211 üzenetére
Session biztonságos mivel a szerveren tárolódnak ezek az adatok.
Viszont van a session cookie, ami alapján a szerver azonosítja a látogatót, és ezt pl el lehet lopni.
Ez ellen érdemes session-ben tárolni a bejelentkezett user ip-jét, és user agentjét. Minden oldalbetöltéskor ezt ellenőrizd, és ha eltérés van akkor léptesd ki.
Ezen kívül remélem az adatbázisodat prepared statementekkel kérdezgeted le.
Más biztonsági dolog hirtelen nem jut eszembe.
-
GG888
senior tag
válasz Flashback #15211 üzenetére
A jelszót én nem tárolnám sehol, míg be van jelentkezve a user, csak bejelentkezésnél vizsgálnám.
+1 Phvhunnak a session sütis biztonságért.
Amit szerintem érdemes lehet elolvasni ebben a témában (hash, salting, stb.)https://crackstation.net/hashing-security.htm
Tudom, nem olyan magasröptű írás, de kezdésnek sokkal jobb, mint az MD5
pcmodding.hu | PC MODDING | Minden, ami modding, verhetetlen árak.
-
Jim-Y
veterán
válasz Flashback #15211 üzenetére
Böngészés közben neked nem kell ezeket letárolni. Ahogy a többiek is írták, session cookie-t kell generálnod belépéskor amit a böngésző el fog tárolni, nyílván beállítasz neki egy expiration time-ot ami az inaktivitás miatt kell. Ha teszem azt 5 percig nem csinál semmit a user akkor letelik a session cookie időtartama és kilépteted a usert, hogy autentikálja magát újra. A jelszavakat hashelve és saltolva KELL tárolnod és egy moder kriptográfiai algoritmust kell használnod. Jelenleg az Argon2 az ajánlott de minimum egy bcrypt. Én ajánlom, hogy opcionálisan tegyél elérhetővé 2 faktoros autentikációt is. Egy SMS validation-t összehozni tényleg nem nagy kunszt, elég egyszerű már manapság és mégis elég frankó feature
Ha az alapvető biztonsági dolgok iránt érdeklődsz akkor a minimum amit olvass el az az OWASP Top10 cheat sheet. Most ezt úgy kell nézni, hogy ide azok a sebezhetőségek vannak felsorolva amik manapság leginkább előfordulnak nem védett weboldalak esetén. Ezekkel érdemes foglalkozni. Pl látod, hogy az első a listában az Injection, akkor erről tudsz bővebben már olvasni, hogy hogyan lehet ellene védekezni. Pl SQL Injection ellen prepared statementekkel, meg input sanitizationnel stb..
Amikor a user beírja a jelszavát, vagy regisztrál akkor ezeket a credentialöket SSL-en keresztül kell a szerverre eljuttatni és ott rögtön hashelni kell.
Linkek:
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet
Új hozzászólás Aktív témák
- HP 14-em0001ne - ÚJ - 14" FullHD IPS notebook - Ryzen 3-7320U, 8GB
- Új bontatlan Sandisk Ultra 3d SSD 4TB és Samsung 2.5 870 Evo 500GB SATA3 (MZ-77E500B)
- BONTATLAN ÚJ iPad Pro 2021 2022 M1 M2 Chip 11 és 12,9 128-2000GB DEÁK TÉRNÉL AZONNAL ÁTVEHETŐ
- Új! Lenovo IdeaPad Slim 5 Prémuim Laptop 16" -AMD Ryzen 5 7530U 8/512 AMD Radeon Graphics 2GB ! FHD+
- Samsung Galaxy Book2 Pro 360 Evo 13,3 makulátlan állapotban
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Promenade Publishing House Kft.
Város: Budapest