Zabezpeceni stranek s vyzsim stupnem zabezpeceni
Prosim o radu, jak vytvorit stranky se zabezpeceni. Nemyslim ted klasicke jednoduche zabezpeceni, ale aby bylo bezpecnejsi. Normalne pouzivam tyto promeny:
session_start();
session_register();
session_unregister();
Napriklad kdyz se prihlasuji na webzdarma, objevi se hlaska s cerfitikatem a myslim i sifrovani. Nebo napr. pri prihlaseni do banky naskoci hlaska o bezpecnejsim pripojeni.
Jak tedy vytvorit stranky z vyzsim stupnem zabezpeceni?
Dekuji za pomoc
session_start();
session_register();
session_unregister();
Napriklad kdyz se prihlasuji na webzdarma, objevi se hlaska s cerfitikatem a myslim i sifrovani. Nebo napr. pri prihlaseni do banky naskoci hlaska o bezpecnejsim pripojeni.
Jak tedy vytvorit stranky z vyzsim stupnem zabezpeceni?
Dekuji za pomoc
Na WZ není https. Ovšem toto je freehosting, takže by mě zajímalo, jaká data musí být "zabezpečena vyšším stupněm". Banka je rozhodně jiný kalibr než WZ. Co je na sessions nedostatečně bezpečněho?
Řešení: placený hosting nebo vlastní server.
Řešení: placený hosting nebo vlastní server.
placeny hosting mam, prave na tom to chci vytvorit.
Ale neni tam https, ale pouze http.
Chci vytvorit aukcni stranky a tam bych potreboval, aby ty data byla lepe chranena.
Diky za odpoved
Ale neni tam https, ale pouze http.
Chci vytvorit aukcni stranky a tam bych potreboval, aby ty data byla lepe chranena.
Diky za odpoved
Odpověď na co? Nebyla tam žádná otázka.
Pokud na placeném hostingu neni https, je pravděpodobně třeba kontaktovat provozovatele, nebo si vybrat jiný hosting.
Opakuji řešení: POŘÁDNÝ placený hosting nebo vlastní server. Pokud má jít o solidní aukční server, přece není problém mít vlastní server. Tam si člověk nainstaluje, co potřebuje a nemusí mít obavu o diskrétnost dat (umí-li si jej zabezpečit).
Pokud na placeném hostingu neni https, je pravděpodobně třeba kontaktovat provozovatele, nebo si vybrat jiný hosting.
Opakuji řešení: POŘÁDNÝ placený hosting nebo vlastní server. Pokud má jít o solidní aukční server, přece není problém mít vlastní server. Tam si člověk nainstaluje, co potřebuje a nemusí mít obavu o diskrétnost dat (umí-li si jej zabezpečit).
Kdyz neni pritomna zabezpecena verze SSL (HTTPS), tak je jedina moznost prave session. Jelikoz se data posilaji nezasifrovana, tak bych se pokusil omezit posilani citlivych dat, jakym jsou treba heslo. Pri prihlaseni se hesla nezbavime, ale po celou dobu relace je dobre posilat heslo jedine zasifrovane treba pomoci MD5, SHA1, nebo ukladat do session. Session ma prave tu vyhodu, ze pracuje pouze na serveru, takze obsah session se nedostane ven.
"Pri prihlaseni se hesla nezbavime" A co challenge / response?
"ale po celou dobu relace je dobre posilat heslo jedine zasifrovane treba pomoci MD5, SHA1" Jaký to má význam? Kdo zachytí hash, přihlásí se. Na ověření trvání relace je tady session.
"nebo ukladat do session" Heslo ukládat do session? Proč?
"ale po celou dobu relace je dobre posilat heslo jedine zasifrovane treba pomoci MD5, SHA1" Jaký to má význam? Kdo zachytí hash, přihlásí se. Na ověření trvání relace je tady session.
"nebo ukladat do session" Heslo ukládat do session? Proč?
ukládat heslo do sessions? omg!
No jo. Blbej priklad :)
2 Tomík: :-)
ja teda v sessionech nikdy nepotrebovaval nechavat vic nez id prihlaseneho uzivatele, a informace o jazyku ci o vzhledu stranky.
ja teda v sessionech nikdy nepotrebovaval nechavat vic nez id prihlaseneho uzivatele, a informace o jazyku ci o vzhledu stranky.
Placenej hosting bez SSL(TLS) musí bejt dobrej šmejd...
Bez SSL3+(TLS1+) je použití sessions taky na dvě věci. To když už, tak Digest authentizace (v Apache odjakživa, v PHP od verze 5.1.0).
Ostatně některý placený "hostingy" mě fascinujou, kdy nepodporujou ani šifrovaný FTP (např. největší Active24, kterej tim hřeší jenom na zákazníky "konzervy", který se na podobných serverech zakonzervujou a řádově jiná kvalita dalších hostingů, který neskončily v pravěku, je už pak nezajímá - nicméně ostatní by si o ně ani kolo neopřeli...).
Bez SSL3+(TLS1+) je použití sessions taky na dvě věci. To když už, tak Digest authentizace (v Apache odjakživa, v PHP od verze 5.1.0).
Ostatně některý placený "hostingy" mě fascinujou, kdy nepodporujou ani šifrovaný FTP (např. největší Active24, kterej tim hřeší jenom na zákazníky "konzervy", který se na podobných serverech zakonzervujou a řádově jiná kvalita dalších hostingů, který neskončily v pravěku, je už pak nezajímá - nicméně ostatní by si o ně ani kolo neopřeli...).
A dále...
http://www.webzdarma.cz/forum/read.php?f=6&i=39213&t=39123
http://www.webzdarma.cz/forum/read.php?f=6&i=39213&t=39123
Jak už jsem psal. Když nemám SSL, tak ani přenos hashovaného hesla (Digest autentizace) mi nepomůže, protože kdo zachytí hash, přihlásí se.
V tomto případě bych volil techniku challenge / response pro přihlašování. A pak session.
V tomto případě bych volil techniku challenge / response pro přihlašování. A pak session.
Neplést si Digest authentizaci s jednoduchým zahashováním hesla...
http://www.webzdarma.cz/forum/read.php?f=6&i=16165&t=15055
http://www.webzdarma.cz/forum/read.php?f=6&i=16165&t=15055
Nové příspěvky
PHP
navýšení php
Soubor .env
Nevykonává se PHP
QR knihovna v PHP?
Aktivace PHP
samovolně se mi z kodu odmazává \
Chyba stránky
dolovani dat z html tabulky
kontaktní formulář
Aktualizace PHO
rozšíření přílohy
CRON
Ppocitadlo
NGINX
Drupal
Chyba po nahrání PHPBB
verze PHP
Nedefinováno __DIR__
PHP error NotCallableException
Nefungující funkce
htaccess 500 error
Nefunkční json_decode(...)
Zobrazení chyb v php
Oprávnění v phpMyAdmin
Další témata
STATUS
FTP
HTTP
SQL
PHP
© 2002 - 2024 Web zdarma s.r.o. — zvládnete to sami