Doporučte PHP secure session login

Adam N.

(2 hodnocení)

2. 8. 2019 19:35:44

Zdravím,

hledám bezpečný PHP script na přihlašování. Znáte nějaký osvědčený? Máte nějaký vlastní, o který byste se podělili?

Díky :)

2. 8. 2019 19:35:44

https://webtrh.cz/diskuse/doporucte-php-secure-session-login/#reply1410771

David Musil

(70 hodnocení)

2. 8. 2019 20:14:08

Na Youtube je spousta tutorialu, jak to udelat. Ale pokud chces bezpecne, asi nebude stacit nakopirovat zdrojovy kod sem, kdyz je soucasti baliku velke mnozstvi souboru :)

Kdo se kam bude hlasit, proc se tam bude hlasit a co bude po prihlaseni delat?

2. 8. 2019 20:14:08

https://webtrh.cz/diskuse/doporucte-php-secure-session-login/#reply1410770

qye

(16 hodnocení)

2. 8. 2019 20:36:00

Na otazky bezpecnosti je lepsi, kdyz si clovek hleda odpovedi sam a nauci se to tak videt komplexne, protoze jinak to "neuvidi" a nebude schopen rozeznat bezpecny kod od nebezpecneho, stejne tak nerozezna co ma z pohledu bezpecnosti smysl resit a co ne. A pak zalezi na situaci. Nepouzival bych kod, kteremu nerozumim, pokud bych chtel bezpecnost. Lepsi drzet se toho co umim/pouzivam a postupne to vylepsoval, ve vetsine pripadech je to pro cloveka lepsi a bezpecnejsi. Pripadne si to nechal napsat/nastavit od nekoho a nechal si to vysvetlit.

2. 8. 2019 20:36:00

https://webtrh.cz/diskuse/doporucte-php-secure-session-login/#reply1410769

Otakar Pěnkava

(25 hodnocení)

3. 8. 2019 11:21:54

Nejjednodušší je si to udělat na nějakém frameworku, třeba Laravel to má uděláno nádherně a auth systém na kterém může pak stavět je tam otázkou 5 minut. Záleží ale, zda se staví nový projekt nebo dodělává funkcionalita do stávajícího.

3. 8. 2019 11:21:54

https://webtrh.cz/diskuse/doporucte-php-secure-session-login/#reply1410768

crs

(1 hodnocení)

3. 8. 2019 11:42:37

Nenabídnu ti přímo skript, ale postup/best practice:

- https

- neposílat holé heslo sítí, ale před odesláním formuláře ho na straně klienta zahashovat

- neukládat holá hesla uživatelů, ale mít je zahashovaná solí unikátní pro každého uživatele

- mít hashovací funkci silnou a vyžadující čas na výpočet

- omezit počet neplatných pokusů o přihlášení

- po určitém počtu neplatných pokusů vyžadovat captcha a/nebo odpočítávat čas, do vypršení kterého se nelze přihlašovat

- po přihlášení zkontrolovat IP, OS, agenta prohlížeče a reagovat při změně

- doporučeno implementovat funkci, která uživatelům bude připomínat, aby si heslo po nějaké době změnili

- při změně hesla požadovat to staré

- reset hesla (pokud ho budeš implementovat) omezit časově

- ...nezapomněl jsem na něco?

na toto všechno neexistuje skript, který bys odněkud stáhl, prsknul mezi zdrojáky a očekával, že ti bude všechno fungovat - vyžaduje to spolupráci s metodou ukládání (většinou databází), adresou pro nabídku funkcí pro přihlášené uživatele a procesem zpracování požadavků jako odeslání uživatele pro tyto funkce.

3. 8. 2019 11:42:37

https://webtrh.cz/diskuse/doporucte-php-secure-session-login/#reply1410767

(20 hodnocení)

3. 8. 2019 11:48:26

k "- neposílat holé heslo sítí, ale před odesláním formuláře ho na straně klienta zahashovat"

tohle si dovolim oznacit za uplnou zbytecnost, pokud jedes pres https (kdo dneska nepouziva https na webu kde litaj citlivy veci, je diletant)... Navic pokud klient odesila hash, cemu zabranis? Utocnik si odchyti hash a pouzije proste ten ... Naprosto zbytecnej krok dle meho... Navic co pak s tim hashem to ho jeste osolis na serveru a znova hashujes? Ale tim si prece akorat zvetsujes sanci na kolizi... Ne nejak vyznamne, ale nevidim duvod delat zbytecny kroky, ktery ve skutecnosti jsou spis horsi nez lepsi (i kdyz jen drobne)

k - doporučeno implementovat funkci, která uživatelům bude připomínat, aby si heslo po nějaké době změnili

ne, vazne ne!!! hlavne nenutit lidi zmenit heslo... Nejen ze je to neskutecne otravny, ale ve skutecnosti tim snizujes bezpecnost...

Konec otravného nařízení: Vynutit změnu hesla je na nic, uznal Microsoft…

chces udelat pro lidi neco navic? tak jejich hesla porovnavej se znamejma databzema uniku - pokud ti sedne kombinace hash/email tak lidi upozorni ze jejich kombinace lita ve svete a donut zmenit, ale rozhodne ne kazdejch X tydnu treba... tam fakt nicemu nepomuzes...

+ by mel byt dneska standard 2FA. Ono z nasi zksuenosti si to aktivuje tak 20% uzivatelu (mene u mene technickych sluzeb), ale ta moznost by tam byt mela, 2FA je treba sirit.

3. 8. 2019 11:48:26

https://webtrh.cz/diskuse/doporucte-php-secure-session-login/#reply1410766

(22 hodnocení)

22. 8. 2019 16:51:38

On tym zahashovanim na strane klienta asi myslel ukrytie skutocneho tvaru hesla, aby ho utocnik nevyskusal napr. do uzivatelovej emailovej schranky (ak je napr. sucastou loginu) a pod.. (kedze vela ludi - alebo skor vacsina pouziva rovnake heslo vsade) - ale skutocne sa nejedna o ochranu dotycneho uctu, ale cisto ochranu uzivatela - pri HTTPS ale uplne zbytocny krok, kedze odoslane data "nie je vidiet".

IP neodporucam kontrolovat, vela uzivatelom sa pocas sedenia moze regulerne zmenit, skor tuto kontrolu urobit nepovinnou (uzivatel napr. zaskrtne ci o tuto ochranu stoji).

Identifikator sedenia (prihlasenia) zasadne iba cez cookies s http only a https. Regenerovat pri znovuprihlaseni.

Taktiez mysliet na CSRF.

22. 8. 2019 16:51:38

https://webtrh.cz/diskuse/doporucte-php-secure-session-login/#reply1410765

Pro odpověď se přihlašte.

Přihlásit