[security] Php/MySQL database

[JJzD]

hoi

ik moet een database maken met daarin voor vele duizende euro's aan gegevens als die database gekraakt kan worden

ik had 2 vragen
1 ik werk natuurlijk met een inlogsysteem.
de username opslaan in een cookie (evt met MD5) is dat veilig??
2 hoe voorkom ik dat de pagina's niet locaal worden opgeslagen of gebeurd dat al automatisch met php/beveiligde verbinding??

grtz
JJ

[Harrie]

Citaat:

JJzD schreef:
hoi

ik moet een database maken met daarin voor vele duizende euro's aan gegevens als die database gekraakt kan worden

ik had 2 vragen
1 ik werk natuurlijk met een inlogsysteem.
de username opslaan in een cookie (evt met MD5) is dat veilig??
2 hoe voorkom ik dat de pagina's niet locaal worden opgeslagen of gebeurd dat al automatisch met php/beveiligde verbinding??

1. Ik zou dubbele beveiliging maken.
.htaccess + inlogsysteem (sessions kies ik voor)..
en een onraadbare url.. zoiets als /a_d_min/
heb je toch een aardige beveiliging..

2. misschien dat als je op beveiliging 'hoog' staat of dat er opties in de browser zijn oid, ik zou dit niet echt weten.

[McMotion]

Citaat:

Harrie schreef:


1. Ik zou dubbele beveiliging maken.
.htaccess + inlogsysteem (sessions kies ik voor)..
en een onraadbare url.. zoiets als /a_d_min/
heb je toch een aardige beveiliging..

2. misschien dat als je op beveiliging 'hoog' staat of dat er opties in de browser zijn oid, ik zou dit niet echt weten.

ik neem aan dat je met .htaccess bedoelt die standaard HTTP passwordbeveiliging? en dan ook nog een inlogsysteem met forms... sorry hoor maar dan moet je 2 keer een password intikken en dat lijkt me een beetje heel erg overdreven.. duizenden guldens is nog een relatief klein bedrag en het werkt verschrikkelijk irritant voor de mensen die er nog mee moeten werken

[McMotion]

Citaat:

JJzD schreef:
hoi

ik moet een database maken met daarin voor vele duizende euro's aan gegevens als die database gekraakt kan worden

ik had 2 vragen
1 ik werk natuurlijk met een inlogsysteem.
de username opslaan in een cookie (evt met MD5) is dat veilig??
2 hoe voorkom ik dat de pagina's niet locaal worden opgeslagen of gebeurd dat al automatisch met php/beveiligde verbinding??

grtz
JJ

moet je er ook een frontend bijmaken ofzo? wat is de bedoeling? want als je alleen een database moet maken heb je geen php nodig natuurlijk

[pietje63]

Citaat:

McMotion schreef:


ik neem aan dat je met .htaccess bedoelt die standaard HTTP passwordbeveiliging? en dan ook nog een inlogsysteem met forms... sorry hoor maar dan moet je 2 keer een password intikken en dat lijkt me een beetje heel erg overdreven.. duizenden guldens is nog een relatief klein bedrag en het werkt verschrikkelijk irritant voor de mensen die er nog mee moeten werken

je kunt de htacces en sessies aan elkaar koppelen hoor

[Harrie]

Citaat:

pietje63 schreef:
je kunt de htacces en sessies aan elkaar koppelen hoor

k neem aan dat je het over mijn reply had?
dat was ook niet mijn bedoeling.
sesssions bij de forms ipv cookies.

maar nu ik daarover nadenk, denk ik dat het wel mogelijk is.. gewoon door het feit dat cu2 het ook kon/kan (met cookies misschien weliswaar). of.. zou het niet ?

[pietje63]

Citaat:

Harrie schreef:


k neem aan dat je het over mijn reply had?
dat was ook niet mijn bedoeling.
sesssions bij de forms ipv cookies.

maar nu ik daarover nadenk, denk ik dat het wel mogelijk is.. gewoon door het feit dat cu2 het ook kon/kan (met cookies misschien weliswaar). of.. zou het niet ?

je kunt toch een script gebruiken dat de waarde zowel bij htacces als de sessie invuld
beetje loos lijkt me, want 1 van de 2 is ook al genoeg
maar toch

[McMotion]

Citaat:

pietje63 schreef:
beetje loos lijkt me, want 1 van de 2 is ook al genoeg
maar toch

je haalt me de woorden uit de mond.. als het password bij beiden hetzelfde is heeft het toch geen zin meer

[Harrie]

Citaat:

McMotion schreef:


je haalt me de woorden uit de mond.. als het password bij beiden hetzelfde is heeft het toch geen zin meer

nee.. maar wie gaat nou passwords bij beide hetzelfde doen.

maar ok, misschien is het wat overdreven...
ik vond het lekker toch een goedje idee

ik denk dat je dan alleen met .htaccess een goede beveiliging hebt..

[McMotion]

Citaat:

Harrie schreef:


nee.. maar wie gaat nou passwords bij beide hetzelfde doen.

maar ok, misschien is het wat overdreven...
ik vond het lekker toch een goedje idee

ik denk dat je dan alleen met .htaccess een goede beveiliging hebt..

lees dan gewoon ff de topic door dan zie je waar ik het over heb

[Harrie]

Citaat:

McMotion schreef:

lees dan gewoon ff de topic door dan zie je waar ik het over heb

ja hallo, het was een reactie op een quote..

[Manuzhai]

In principe is een .htaccess erg veilig, en de gegevens die daarbij worden ingevoerd kun je daarna ook prima gebruiken in de sessie om de user te herkennen die is ingelogd. Verder moet je wel oplossen dat de gegevens die worden ingevoerd door de user via POST dan wel via GET komen (dus niet de geregistreerde globals gebruiken, maar $_POST en $_GET). Op http://gathering.tweakers.net/ kun je wel een artikel vinden over veilig coden met PHP, zoek ff in de FAQ op het forum Programming & Webscripting.

[JJzD]

Citaat:

Manuzhai schreef:
In principe is een .htaccess erg veilig, en de gegevens die daarbij worden ingevoerd kun je daarna ook prima gebruiken in de sessie om de user te herkennen die is ingelogd. Verder moet je wel oplossen dat de gegevens die worden ingevoerd door de user via POST dan wel via GET komen (dus niet de geregistreerde globals gebruiken, maar $_POST en $_GET). Op http://gathering.tweakers.net/ kun je wel een artikel vinden over veilig coden met PHP, zoek ff in de FAQ op het forum Programming & Webscripting.

ok dank je

het word een soort forumidee waarbij bepaalde ideeën uit de database worden gehaald en daar op gereageerd kan worden

er hoeven maar 2 mensen in te kunnen en ze zien het nuit van goede beveiliging in.

weet je ook hoe ik voorkom dat de pagina's locaal worden opgeslagen??
grote kans dat dat niet gebeurd aangezien het php is en ik een gecodeerde verbinding ga gebruiken
(leer ik daar ook nog me werken en man in the middle word wat moeilijker)

[Manuzhai]

Moet je op elke pagina een header meesturen dat de pagina verlopen is, dat kan wel enigszins helpen. Zie de PHP manual entry van de header() functie.

[MRdocu]

Citaat:

JJzD schreef:
hoi

ik moet een database maken met daarin voor vele duizende euro's aan gegevens als die database gekraakt kan worden

ik had 2 vragen
1 ik werk natuurlijk met een inlogsysteem.
de username opslaan in een cookie (evt met MD5) is dat veilig??
2 hoe voorkom ik dat de pagina's niet locaal worden opgeslagen of gebeurd dat al automatisch met php/beveiligde verbinding??

grtz
JJ

Als ik jouw was zou ik een inlogsysteem maken via Database, dus alle gegevens van leden/personen worden opgeslagen in 1 databse, zodra ze inloggen met hen eigen gebruikersnaam en paswoord laat je php checken of het ip-adres wel bij het goede gebruikersnaam en paswoord hoord, als php erachter komt dat de gebruikersnaam en paswoord niet overeenkomen met het ingevoerde gebruikersnaam en paswoord zeg je dat ie het ip na 3x proberen blockt!

[MRdocu]

Citaat:

MRdocu schreef:


Als ik jouw was zou ik een inlogsysteem maken via Database, dus alle gegevens van leden/personen worden opgeslagen in 1 databse, zodra ze inloggen met hen eigen gebruikersnaam en paswoord laat je php checken of het ip-adres wel bij het goede gebruikersnaam en paswoord hoord, als php erachter komt dat ip-adres niet overeenkomt met de ingevoerde gebruikersnaam en paswoord zeg je dat ie het ip na 3x proberen blockt!

[JJzD]

mja
maar hij moet ook te accessen zijn als we bij klanten zijn
of op een ander adres

ik zorg er wel voor dat er maar 3x kan worden geprobeerd maar ach proxys zijn er ook zat

ik log wel elk ip dat erin komt

[Chimera]

Citaat:

Manuzhai schreef:
Moet je op elke pagina een header meesturen dat de pagina verlopen is, dat kan wel enigszins helpen. Zie de PHP manual entry van de header() functie.

Heeft geen zin, je moet alle veiligheid aan de serverkant afhandelen.

Een eigen inlogsysteem met sessies en MD5 passwords is IMHO veilig genoeg. .htaccess is alleen maar een hoop geklooi, en onveilig als je .htpasswd files gebruikt.

[Chimera]

Citaat:

MRdocu schreef:

als php erachter komt dat de gebruikersnaam en paswoord niet overeenkomen met het ingevoerde gebruikersnaam en paswoord zeg je dat ie het ip na 3x proberen blockt!

Wel eens van proxies gehoord? IP blokkeren weer hoogstens een 14-jarige skriptkiddie.

[Harrie]

Citaat:

Chimera schreef:

en onveilig als je .htpasswd files gebruikt.

helemaal niet..
zet het maar eens in de 'rootdir' als je inlogt bij een ftp, meestal is er een 'www' dir daarna, of een 'public_html' oid..

daar kunnen ze niet bij via http...

[Chimera]

Citaat:

Harrie schreef:

daar kunnen ze niet bij via http...

Nope. Maar slechte scripts kunnen ervoor zorgen dat men daar wel bij kan, dat gaat ze niet lukken als het zaakie in een MySQL db staat.

Citaat:

Chimera schreef:
Nope. Maar slechte scripts kunnen ervoor zorgen dat men daar wel bij kan, dat gaat ze niet lukken als het zaakie in een MySQL db staat.

En wat dacht je dan van slechte scripts waarmee je die database in kan?

[Chimera]

Citaat:

Chip Zero schreef:
En wat dacht je dan van slechte scripts waarmee je die database in kan?

Zelfs als iemand achter de inlognaam en het password komt, kan hij hoogstwaarschijnlijk niet in de DB komen zonder bij die provider een account te hebben. En scripts die mensen letterlijk queries laten uitvoeren zijn wel erg dom.

Citaat:

Chimera schreef:
Zelfs als iemand achter de inlognaam en het password komt, kan hij hoogstwaarschijnlijk niet in de DB komen zonder bij die provider een account te hebben. En scripts die mensen letterlijk queries laten uitvoeren zijn wel erg dom.

Dat is precies het soort scripts wat ik bedoel (nou eigenlijk meer zoals die exploits die je in dingen als phpnuke steeds ziet). En die scripts kom je volgens mij wel vaker tegen dan scripts die je toegang geven tot files buiten de http_docs. En PHP scripts hebben sowieso vrijwel altijd hun safemode, dus dan kom je daar niet zo makkelijk.

[Chimera]

Citaat:

Chip Zero schreef:
En PHP scripts hebben sowieso vrijwel altijd hun safemode, dus dan kom je daar niet zo makkelijk.

Nee hoor, meeste providers draaien PHP (gelukkig) niet in safemode.

En scripts waarmee bestanden te accessen zijn, zijn er genoeg. Vooral scripts om plaatjes te bekijken worden hiervoor vaak misbruikt, simpelweg omdat mensen niet doorhebben dat hiermee elk bestand op het FS wat voor PHP leesbaar is gedownload kan worden. Dan heb je een .htpasswd bestand zo te pakken.

Citaat:

Chimera schreef:
Nee hoor, meeste providers draaien PHP (gelukkig) niet in safemode.

Ik heb heel wat servers gehad, en allen hadden ze safemode aan. Zelfs de betaalde host die we nu hebben heeft dat aan. Lijkt me behoorlijk standaard.

Citaat:

en schreef:
En scripts waarmee bestanden te accessen zijn, zijn er genoeg. Vooral scripts om plaatjes te bekijken worden hiervoor vaak misbruikt, simpelweg omdat mensen niet doorhebben dat hiermee elk bestand op het FS wat voor PHP leesbaar is gedownload kan worden. Dan heb je een .htpasswd bestand zo te pakken.

Inderdaad, dat is wel simpeler te exploiteren. Maar iemand die dat doet is ook wel heel stom bezig. Waar bén je dan met je gedachten?

[Chimera]

Citaat:

Chip Zero schreef:
IkMaar iemand die dat doet is ook wel heel stom bezig. Waar bén je dan met je gedachten?

Komt regelmatig voor, omdat je niet verwacht dat mensen het daarvoor gaan misbruiken. Van een script dat queries rechtstreeks uitvoert daarentegen snapt iedereen wel dat dat gevaarlijk is.

Komt nog eens bij dat .htaccess lastiger bij te houden is. Er is IMHO geen enkel argument tegen de opslag in een DB.

[McMotion]

Citaat:

Chimera schreef:
En scripts waarmee bestanden te accessen zijn, zijn er genoeg. Vooral scripts om plaatjes te bekijken worden hiervoor vaak misbruikt, simpelweg omdat mensen niet doorhebben dat hiermee elk bestand op het FS wat voor PHP leesbaar is gedownload kan worden. Dan heb je een .htpasswd bestand zo te pakken.

maar dan? een dictionary cracker er overheen ofzo? dat kan ook rechtstreeks via de inlogprocedure, en iemand die een "moeilijk" password heeft, en het staat geencrypt in .htpasswd met MD5 dan ben je wel eventjes zoet voordat je z'n password hebt
het is een stuk gevaarlijker als je de passwords in plaintext in een file hebt staan... maarjah soms moet je wel, bijvoorbeeld het account in een php file om de database te benaderen... die heb je dan wel zo te pakken.. dan hoef je alleen nog binnen te komen op de MySQL server.. misschien lukt het rechtstreeks, misschien moet je eerst een gratis proefaccount nemen bij die provider ofzo, het kost in ieder geval minder moeite...