Új hozzászólás Aktív témák
-
Sk8erPeter
nagyúr
válasz Flashback #2332 üzenetére
Eltart egy darabig, míg eljut odáig a robot, hogy indexelje az oldalt, szóval érdemes várni türelmesen, van, hogy csak egy vagy két hónap után jelenik meg a Google találati listáján.
De mindenesetre a dolog megsürgetése érdekében - persze ettől még lehet, hogy ugyanannyit kell várni, hiszen ez sem garantált megoldás, de egy lehetséges eszköz - regisztráld az oldalt a Google-nél!
URL hozzáadása a Google-hozSk8erPeter
-
Sk8erPeter
nagyúr
válasz Flashback #2334 üzenetére
Mint említettem, eltart egy darabig, míg a Google indexeli az oldaladat. Egy hónap után sem feltétlenül kell csodákat várni, ez időbe kerül...
A robots.txt hozzáadása önmagában szart se ér.
Kétségbeesés helyett inkább kezdj el foglalkozni a keresőoptimalizálással (SEO - Search Engine Optimization), pl. kezdetnek olvasd el ezt a könyvet (vedd ki könyvtárból): Keresők és webhelyek: Webes szabványok és keresőoptimalizálás a gyakorlatban.Sk8erPeter
-
puttputt
őstag
válasz Flashback #2334 üzenetére
Volt, hogy 3 hónap után tett be első helyre a Google...
Rendeléses Portál volt, megmondtam a megrendelőknek, hogy ez van, stb.
Pedig mindent megtettem a SEO érdekében. Mindent, ami ingyenesen elérhető.
Láss csodát, múlt hét óta első helyen szerepel a lap.
Kitartást!:LKBK-Inventor / * Mindig más nő mellett ébredek ... a buszon. ///////////////////////
-
Phvhun
őstag
válasz Flashback #15211 üzenetére
Session biztonságos mivel a szerveren tárolódnak ezek az adatok.
Viszont van a session cookie, ami alapján a szerver azonosítja a látogatót, és ezt pl el lehet lopni.
Ez ellen érdemes session-ben tárolni a bejelentkezett user ip-jét, és user agentjét. Minden oldalbetöltéskor ezt ellenőrizd, és ha eltérés van akkor léptesd ki.
Ezen kívül remélem az adatbázisodat prepared statementekkel kérdezgeted le.
Más biztonsági dolog hirtelen nem jut eszembe.
-
GG888
senior tag
válasz Flashback #15211 üzenetére
A jelszót én nem tárolnám sehol, míg be van jelentkezve a user, csak bejelentkezésnél vizsgálnám.
+1 Phvhunnak a session sütis biztonságért.
Amit szerintem érdemes lehet elolvasni ebben a témában (hash, salting, stb.)https://crackstation.net/hashing-security.htm
Tudom, nem olyan magasröptű írás, de kezdésnek sokkal jobb, mint az MD5
pcmodding.hu | PC MODDING | Minden, ami modding, verhetetlen árak.
-
Jim-Y
veterán
válasz Flashback #15211 üzenetére
Böngészés közben neked nem kell ezeket letárolni. Ahogy a többiek is írták, session cookie-t kell generálnod belépéskor amit a böngésző el fog tárolni, nyílván beállítasz neki egy expiration time-ot ami az inaktivitás miatt kell. Ha teszem azt 5 percig nem csinál semmit a user akkor letelik a session cookie időtartama és kilépteted a usert, hogy autentikálja magát újra. A jelszavakat hashelve és saltolva KELL tárolnod és egy moder kriptográfiai algoritmust kell használnod. Jelenleg az Argon2 az ajánlott de minimum egy bcrypt. Én ajánlom, hogy opcionálisan tegyél elérhetővé 2 faktoros autentikációt is. Egy SMS validation-t összehozni tényleg nem nagy kunszt, elég egyszerű már manapság és mégis elég frankó feature
Ha az alapvető biztonsági dolgok iránt érdeklődsz akkor a minimum amit olvass el az az OWASP Top10 cheat sheet. Most ezt úgy kell nézni, hogy ide azok a sebezhetőségek vannak felsorolva amik manapság leginkább előfordulnak nem védett weboldalak esetén. Ezekkel érdemes foglalkozni. Pl látod, hogy az első a listában az Injection, akkor erről tudsz bővebben már olvasni, hogy hogyan lehet ellene védekezni. Pl SQL Injection ellen prepared statementekkel, meg input sanitizationnel stb..
Amikor a user beírja a jelszavát, vagy regisztrál akkor ezeket a credentialöket SSL-en keresztül kell a szerverre eljuttatni és ott rögtön hashelni kell.
Linkek:
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet -
Jim-Y
veterán
válasz Flashback #15215 üzenetére
Feltételezni kell, hogy a szervered biztonságos, meg hát azt is védeni kell, nyílván ha te a tárhelyet csak béreled akkor ennek a védelme nem a te felelősséged, más esetben igen. Session hijacking -> [link]
Logikailag akkor jobb ha:
Egyszer beléptetem és mondjuk egy booleanba rakom ezt be, a jelszót pedig többször ne is ellenőrizzem?Nem, authentikáció után a szerveren csinálsz egy session-t a usernek, majd csinálsz egy middleware-t ami minden a frontendről jövő kérés esetén lefut és ellenőrzi a session érvényességét, nem járt-e le, megegyezik a session token stb..
Az MD5-el az a baj, hogy régen elavult, és ha a jelszavak véletlenül kikerülnének a világba, akkor a másodperc tört része alatt feltörik azt, egész egyszerűen már nem elég biztonságos.
[ Szerkesztve ]
-
Jim-Y
veterán
-
Jim-Y
veterán
válasz Flashback #15234 üzenetére
Szia.
Nem tudom, hogy multkor irtam-e, vagy csak akartam, de az nagyon rossz irany, hogy a jelszot leakeled a felhasznalonak. A jelszonak egy olyan erteknek kell lennie ami csakis kizarolag szellemi "tulajdon". Ertem ezalatt, hogy a jelszo egy, a felhasznalo elmejeben letezo kodsor amivel valamilyen szinten biztonsagosan azonositani tudja magat. A vedelem egyik alappillere, hogy ezt te titkositott csatornan kuldod el a szervernek, ott rogton tikositod ugy, hogy azt visszafejteni nagyon nagyon nehez, vagy nagyon sok ido legyen, es hat elmeletileg veded a szervert, hogy ne jusson ki a jelszo egy esetleges harmadik felhez. Na mar most ha te elhasheled a jelszavat es kikuldod neki a bongeszojebe akkor mar egybol leakelted is az informaciot. Ez bad pattern. Helyette...
En ez alapjan csinaltam hasonlot: [link]
Zanzasitva:
Ad1: "Would you believe that there are still web programmers that use fast cryptographic hash functions such as MD5 and SHA1 for password storage in 2015? It has been clear to security experts for a long time that this is a bad idea"
Ajanlottak:
Argon2 (winner of the Password Hashing Competition)
bcrypt
scrypt
PBKDF2 (Password-Based Key Derivation Function #2)Ad2: maga a remmeber-me
The automatic login algorithm looks something like:
1 Separate selector from validator.
2 Grab the row in auth_tokens for the given selector. If none is found, abort.
3 Hash the validator provided by the user's cookie with SHA-256.
4 Compare the SHA-256 hash we generated with the hash stored in the database, using hash_equals().
5 If step 4 passes, associate the current session with the appropriate user ID.En meg megfejelnem ezt azzal, hogy mondjuk fakultativan tudna a user kapcsolni, hogy o egy secure-account 2FA-al es igy Minden belepesnel kuldene egy auth-tokent SMS-ben. Nem lenne ez kivetel a remember-me-nel sem.
Új hozzászólás Aktív témák
- Politika
- LEGO klub
- Kicsit extrémre sikerült a Hyte belépője a készre szerelt vízhűtések világába
- Azonnali informatikai kérdések órája
- Itt az első kép a 2024-es Nokia 3210-ről
- EA Sports WRC '23
- Autós topik látogatók beszélgetős, offolós topikja
- Xbox Series X|S
- Proxmox VE
- Elite: Dangerous
- További aktív témák...
- AKCIÓ Új Dobozos Macbook Pro dokkoló új ára 70.000 forint
- ThinkPad Hybrid USB -C USB -A Dock 40AF Új ára 80.000 Forint Ingyen szállítás
- Xiaomi Redmi Note 9s 128/6 GB 34.9E !!!
- Új Hp Pavilion 15-eh Fémházas Szuper Laptop 15,6" -30% AMD Ryzen 7 5700U 8Mag 16/1TB FHD MATT
- ATI RADEON RX 480 -8 gb DDR5 256 bit videokártya