NOVINKA! E-learningové kurzy umělé inteligence. Nyní AI za nejlepší ceny. Zjisti více:
NOVINKA – Víkendový online kurz Software tester, který tě posune dál. Zjisti, jak na to!
Avatar
Loter
Člen
Avatar
Loter:24.5.2017 13:20

Potreboval by som poradiť ako najlepšie zabezpečiť údaje v databáze. Konkrétne mám v databáze uložené mená a heslá, ktoré v rôznych kódoch používam avšak ak by sa niekto dostal dostal do databázy hneď by videl všetky údaje. Nejaké zakódovanie mena alebo hesla nieje veľmi možné keďže potrebujem používať mená aj heslá v origináli (jediná vec čo mi napadala by bolo zakódovanie a odkódovanie hesiel pri používaní avšak ak by sa niekto dostal k PHP kódu tiež by si to mohol jednoducho odkódovať).

Odpovědět
24.5.2017 13:20
Kto vie dobre programovať, nemusí sa pretvarovať :)
Avatar
kaskader202
Člen
Avatar
Odpovídá na Loter
kaskader202:24.5.2017 13:41

K čemu je potřeba používat hesla v originále ?

 
Nahoru Odpovědět
24.5.2017 13:41
Avatar
Jiří Fencl
Člen
Avatar
Odpovídá na kaskader202
Jiří Fencl:24.5.2017 14:10

prece aby odstranil i tu posledni ochranu :D po odstraneni posledni je potreba to ochranit cele dohromady... proste oddelame kapoty z aut, budem jezdit jen na ose s kolama a okapotujem vsechny silnice

 
Nahoru Odpovědět
24.5.2017 14:10
Avatar
Loter
Člen
Avatar
Odpovídá na kaskader202
Loter:24.5.2017 14:30

U mna konkrétne auto-login na email.

Nahoru Odpovědět
24.5.2017 14:30
Kto vie dobre programovať, nemusí sa pretvarovať :)
Avatar
kaskader202
Člen
Avatar
Odpovídá na Loter
kaskader202:24.5.2017 14:47

A ten email je služba 3 strany ? Pokud ano, tak bych z hlediska bezpečnosti prováděl samostatné přihlášení do emailu. Má to více výhod a navíc uživatel může dát v prohlížeči zapamatovat údaje, na jeho vlastní riziko. Ano je to o krok navíc, ale bezpečnost je přednější. Do databáze patří jen otisk hesla a sůl.

 
Nahoru Odpovědět
24.5.2017 14:47
Avatar
Loter
Člen
Avatar
Odpovídá na kaskader202
Loter:24.5.2017 15:11

Naprogramoval som si niečo ako Outlook a k emailu pristupujem cez imap kde ale potrebujem meno a heslo, ktoré tahám z databázi.

Nahoru Odpovědět
24.5.2017 15:11
Kto vie dobre programovať, nemusí sa pretvarovať :)
Avatar
kaskader202
Člen
Avatar
Odpovídá na Loter
kaskader202:24.5.2017 15:15

Ok, ale to nic nemění na tom, abys to heslo zadával dvakrát. Tobě to neublíží, máš to napsané za max. 10 minut a hned máš bezpečnější aplikaci (po té ce přepíšeš login tak, aby se porovnávali jen otisky hesel atd.)

 
Nahoru Odpovědět
24.5.2017 15:15
Avatar
Loter
Člen
Avatar
Odpovídá na kaskader202
Loter:24.5.2017 15:27

Ja som sa len chcel uistit ci to nejako inak nejde....

Nahoru Odpovědět
24.5.2017 15:27
Kto vie dobre programovať, nemusí sa pretvarovať :)
Avatar
kaskader202
Člen
Avatar
Odpovídá na Loter
kaskader202:24.5.2017 15:36

No leda, po přihlášení využít toho vstupu a po ověření zda je to daný uživatel, použít to heslo a rovnou se přihlásit přes imap. Jen nevím jestli je potřeba to heslo pokaždé když se přes imap něco děje.

 
Nahoru Odpovědět
24.5.2017 15:36
Avatar
girosb
Člen
Avatar
girosb:28.5.2017 23:28

zkus použít Session a heslo podle mne k ničemu nepotřebuješ to zahashuj radši :-D a požívej třeba id co uložíš do session :-D
myslím přímo u loginu ulož taky heslo do session :-D jediný co mne teďka napadá :-D

Editováno 28.5.2017 23:30
 
Nahoru Odpovědět
28.5.2017 23:28
Avatar
kaskader202
Člen
Avatar
Odpovídá na girosb
kaskader202:30.5.2017 9:03

To sice ano ale stále hrozi session poisoning, takže bych stim byl opatrný. Dvojté přihlášení je pořád nejbezpečnější.

 
Nahoru Odpovědět
30.5.2017 9:03
Avatar
Martin Dráb
Tvůrce
Avatar
Odpovídá na Loter
Martin Dráb:30.5.2017 18:23

Pokud potřebuješ něco jako správce hesel, pouč se buď u nich, nebo třeba u prohlížečů. Jistě, 100 % ochrana to není, ale nikdo ti ta hesla nevyčte jen tak z databáze (musí mít i kód/klíč k dešifrování). Do takto koncipované ochrany navíc snadno zakomponuješ případné master heslo (prostě se bude podílet na odvození klíče, kterým jsou šifrována ostatní hesla).

K zašifrování hesla také můžeš použít login, popř. název služby (URL), do které heslo autentizuje. Pokud pak ten název služby neukládáš, je možné dešifrovat jenom hesla, ke kterým útočník uhodne název služby/URL.

Akceptované řešení
+20 Zkušeností
Řešení problému
Nahoru Odpovědět
30.5.2017 18:23
2 + 2 = 5 for extremely large values of 2
Avatar
Loter
Člen
Avatar
Odpovídá na Martin Dráb
Loter:5.6.2017 16:57

V podstate tak isto to chcem urobiť. Šifrované heslá ukladať do databázi s tým, že budem používať nejaký kľúč pri šifrovaní a odšifrovaní.

Nahoru Odpovědět
5.6.2017 16:57
Kto vie dobre programovať, nemusí sa pretvarovať :)
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 13 zpráv z 13.