- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Xiaomi AX3600 WiFi 6 AIoT Router
- Linux kezdőknek
- Milyen routert?
- A streamingszolgáltatások összecsomagolása lehet a következő divat
- macOS PC-re
- Synology NAS
- Színészek hangjait lopta el egy AI-cég
- C# programozás
- Programozásról_szubjektíven
Új hozzászólás Aktív témák
-
Sk8erPeter
nagyúr
válasz Flashback #2332 üzenetére
Eltart egy darabig, míg eljut odáig a robot, hogy indexelje az oldalt, szóval érdemes várni türelmesen, van, hogy csak egy vagy két hónap után jelenik meg a Google találati listáján.
De mindenesetre a dolog megsürgetése érdekében - persze ettől még lehet, hogy ugyanannyit kell várni, hiszen ez sem garantált megoldás, de egy lehetséges eszköz - regisztráld az oldalt a Google-nél!
URL hozzáadása a Google-hozSk8erPeter
-
Sk8erPeter
nagyúr
válasz Flashback #2334 üzenetére
Mint említettem, eltart egy darabig, míg a Google indexeli az oldaladat. Egy hónap után sem feltétlenül kell csodákat várni, ez időbe kerül...
A robots.txt hozzáadása önmagában szart se ér.
Kétségbeesés helyett inkább kezdj el foglalkozni a keresőoptimalizálással (SEO - Search Engine Optimization), pl. kezdetnek olvasd el ezt a könyvet (vedd ki könyvtárból): Keresők és webhelyek: Webes szabványok és keresőoptimalizálás a gyakorlatban.Sk8erPeter
-
puttputt
őstag
válasz Flashback #2334 üzenetére
Volt, hogy 3 hónap után tett be első helyre a Google...
Rendeléses Portál volt, megmondtam a megrendelőknek, hogy ez van, stb.
Pedig mindent megtettem a SEO érdekében. Mindent, ami ingyenesen elérhető.
Láss csodát, múlt hét óta első helyen szerepel a lap.
Kitartást!:LKBK-Inventor / * Mindig más nő mellett ébredek ... a buszon. ///////////////////////
-
Phvhun
őstag
válasz Flashback #15211 üzenetére
Session biztonságos mivel a szerveren tárolódnak ezek az adatok.
Viszont van a session cookie, ami alapján a szerver azonosítja a látogatót, és ezt pl el lehet lopni.
Ez ellen érdemes session-ben tárolni a bejelentkezett user ip-jét, és user agentjét. Minden oldalbetöltéskor ezt ellenőrizd, és ha eltérés van akkor léptesd ki.
Ezen kívül remélem az adatbázisodat prepared statementekkel kérdezgeted le.
Más biztonsági dolog hirtelen nem jut eszembe.
-
GG888
senior tag
válasz Flashback #15211 üzenetére
A jelszót én nem tárolnám sehol, míg be van jelentkezve a user, csak bejelentkezésnél vizsgálnám.
+1 Phvhunnak a session sütis biztonságért.
Amit szerintem érdemes lehet elolvasni ebben a témában (hash, salting, stb.)https://crackstation.net/hashing-security.htm
Tudom, nem olyan magasröptű írás, de kezdésnek sokkal jobb, mint az MD5
pcmodding.hu | PC MODDING | Minden, ami modding, verhetetlen árak.
-
Jim-Y
veterán
válasz Flashback #15211 üzenetére
Böngészés közben neked nem kell ezeket letárolni. Ahogy a többiek is írták, session cookie-t kell generálnod belépéskor amit a böngésző el fog tárolni, nyílván beállítasz neki egy expiration time-ot ami az inaktivitás miatt kell. Ha teszem azt 5 percig nem csinál semmit a user akkor letelik a session cookie időtartama és kilépteted a usert, hogy autentikálja magát újra. A jelszavakat hashelve és saltolva KELL tárolnod és egy moder kriptográfiai algoritmust kell használnod. Jelenleg az Argon2 az ajánlott de minimum egy bcrypt. Én ajánlom, hogy opcionálisan tegyél elérhetővé 2 faktoros autentikációt is. Egy SMS validation-t összehozni tényleg nem nagy kunszt, elég egyszerű már manapság és mégis elég frankó feature
Ha az alapvető biztonsági dolgok iránt érdeklődsz akkor a minimum amit olvass el az az OWASP Top10 cheat sheet. Most ezt úgy kell nézni, hogy ide azok a sebezhetőségek vannak felsorolva amik manapság leginkább előfordulnak nem védett weboldalak esetén. Ezekkel érdemes foglalkozni. Pl látod, hogy az első a listában az Injection, akkor erről tudsz bővebben már olvasni, hogy hogyan lehet ellene védekezni. Pl SQL Injection ellen prepared statementekkel, meg input sanitizationnel stb..
Amikor a user beírja a jelszavát, vagy regisztrál akkor ezeket a credentialöket SSL-en keresztül kell a szerverre eljuttatni és ott rögtön hashelni kell.
Linkek:
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet -
Jim-Y
veterán
válasz Flashback #15215 üzenetére
Feltételezni kell, hogy a szervered biztonságos, meg hát azt is védeni kell, nyílván ha te a tárhelyet csak béreled akkor ennek a védelme nem a te felelősséged, más esetben igen. Session hijacking -> [link]
Logikailag akkor jobb ha:
Egyszer beléptetem és mondjuk egy booleanba rakom ezt be, a jelszót pedig többször ne is ellenőrizzem?Nem, authentikáció után a szerveren csinálsz egy session-t a usernek, majd csinálsz egy middleware-t ami minden a frontendről jövő kérés esetén lefut és ellenőrzi a session érvényességét, nem járt-e le, megegyezik a session token stb..
Az MD5-el az a baj, hogy régen elavult, és ha a jelszavak véletlenül kikerülnének a világba, akkor a másodperc tört része alatt feltörik azt, egész egyszerűen már nem elég biztonságos.
[ Szerkesztve ]
-
Jim-Y
veterán
-
Jim-Y
veterán
válasz Flashback #15234 üzenetére
Szia.
Nem tudom, hogy multkor irtam-e, vagy csak akartam, de az nagyon rossz irany, hogy a jelszot leakeled a felhasznalonak. A jelszonak egy olyan erteknek kell lennie ami csakis kizarolag szellemi "tulajdon". Ertem ezalatt, hogy a jelszo egy, a felhasznalo elmejeben letezo kodsor amivel valamilyen szinten biztonsagosan azonositani tudja magat. A vedelem egyik alappillere, hogy ezt te titkositott csatornan kuldod el a szervernek, ott rogton tikositod ugy, hogy azt visszafejteni nagyon nagyon nehez, vagy nagyon sok ido legyen, es hat elmeletileg veded a szervert, hogy ne jusson ki a jelszo egy esetleges harmadik felhez. Na mar most ha te elhasheled a jelszavat es kikuldod neki a bongeszojebe akkor mar egybol leakelted is az informaciot. Ez bad pattern. Helyette...
En ez alapjan csinaltam hasonlot: [link]
Zanzasitva:
Ad1: "Would you believe that there are still web programmers that use fast cryptographic hash functions such as MD5 and SHA1 for password storage in 2015? It has been clear to security experts for a long time that this is a bad idea"
Ajanlottak:
Argon2 (winner of the Password Hashing Competition)
bcrypt
scrypt
PBKDF2 (Password-Based Key Derivation Function #2)Ad2: maga a remmeber-me
The automatic login algorithm looks something like:
1 Separate selector from validator.
2 Grab the row in auth_tokens for the given selector. If none is found, abort.
3 Hash the validator provided by the user's cookie with SHA-256.
4 Compare the SHA-256 hash we generated with the hash stored in the database, using hash_equals().
5 If step 4 passes, associate the current session with the appropriate user ID.En meg megfejelnem ezt azzal, hogy mondjuk fakultativan tudna a user kapcsolni, hogy o egy secure-account 2FA-al es igy Minden belepesnel kuldene egy auth-tokent SMS-ben. Nem lenne ez kivetel a remember-me-nel sem.
Új hozzászólás Aktív témák
- Gyúrósok ide!
- Samsung LCD és LED TV-k
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- A fociról könnyedén, egy baráti társaságban
- Nvidia GPU-k jövője - amit tudni vélünk
- Honor Magic V2 - origami
- Redmi Note 13 Pro+ - a fejlődés íve
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Xiaomi AX3600 WiFi 6 AIoT Router
- Diablo IV
- További aktív témák...
- Beszámítás! MSI B550 R7 5700X 16GB DDR4 500GB SSD RTX 3060 Ti 8GB ZALMAN Z1 Plus FSP 700W
- ÚJ! NZXT H5 FLOW - 2 Év Garancia
- Beszámítás! ASUS B550M R5 5600G 16GB DDR4 500GB SSD RX 5700XT 8GB ZALMAN S2 TG Seasonic 600W
- Beszámítás! ASUS B450 R5 3600X 16GB DDR4 512GB SSD RTX 3060 12GB Cooler Master MB520 Chieftec 600W
- Beszámítás! ASRock B550M R3 4300G 16GB DDR4 240GB SSD GTX 970 4GB FSP CMT160 fekete FSP 600W
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Ozeki Kft.
Város: Debrecen