jak zrobić to profesjonalne logowanie?

Odpowiedz Nowy wątek
2019-04-07 12:03

Rejestracja: 1 rok temu

Ostatnio: 8 miesięcy temu

Lokalizacja: Aincrad

0

witam,
we wszystkich poradnikach php zazwyczaj nikt nie pokazuje jak poprawnie zrobić system logowania
tu moje pytanie
Do szyfrowania danych (haseł w bazie danych) czego najlepiej użyć?
Czemu dane sesyjne szyfruje się używając JWT? (czy ogólnie sesje już na starcie nie są niedostępne dla użytkownika?)

Pozostało 580 znaków

2019-04-07 12:51

Rejestracja: 9 lat temu

Ostatnio: 7 godzin temu

0

Jeśli zależy Ci na gotowym wyniku to odwiedź stronę laravela, tam jest narzędzie które potrafi postawić szkielet aplikacji już z rejestracją i logowaniem. Zacznij od tego :)


Pozostało 580 znaków

2019-04-07 13:38

Rejestracja: 1 rok temu

Ostatnio: 16 godzin temu

Lokalizacja: Inowrocław

0

Czemu chcesz szyfrować hasła? Lepiej po prostu je za hashować.

Pozostało 580 znaków

2019-04-07 14:49

Rejestracja: 8 lat temu

Ostatnio: 10 godzin temu

Lokalizacja: Grudziądz/Bydgoszcz

1
Yukiteru Gromadzki napisał(a):

Czemu chcesz szyfrować hasła? Lepiej po prostu je za hashować.

Zauważ, że autor wątku to typowy początkujący, który nie rozróżnia hashowania od szyfrowania. Poza tym w twojej wypowiedzi widzę również błąd, haseł użytkowników nie wolno szyfrować, a ty podszedłeś, do tego jak do gorszej alternatywy.

Może się mylę ale jednak lepiej trzymać je zaszyfrowane niż w plain textie, zawsze jest jakaś szansa że komuś hasło zapisane w kodzie po prostu umknie. Jeżeli się mylę to wybacz - - Yukiteru Gromadzki 2019-04-07 14:57
@Yukiteru Gromadzki co to znaczy według ciebie hasło zapisane w kodzie po prostu umknie ? hashowanie jest jednorazowe, nikt nie ma możliwości go "odhashować" szyfrowanie można odwrócić, jesli atakujący ma dostęp do bazy to zapewne ma blisko do serwera a tym samym i do klucza szyfrującego/deszyfrującego, a to oznacza, że szyfrowanie haseł to żadne zabezpieczenie i tym samym przez prawo jest traktowane tak samo jak plaintext - w przypadku wycieku grożą milionowe kary z tytułu naruszenia rodo. - mr_jaro 2019-04-07 15:06
Okeej rozumiem ale "żadne zabezpieczenie"? Np taki wykop miał na bodajże na test serwerze (chyba devkop.pl) bazę danych bez hasła i wszystko było w plain textie a dostępu do kodu źródłowego serwisu nie było i tak wiem że to naprawdę niewiele ale uważam że "żadne" to lekka przesada zwłaszcza że hashowanie taką MD5ą to tyle co nic :/ - Yukiteru Gromadzki 2019-04-07 15:20
@Yukiteru Gromadzki tak, żadne zabezpieczenie. md5 to przeżytek, poczytaj o nastepcach w kolejności: sha, bcrypct, argon - obecnie w laboratoriach da rade wykonać "kolizje" na najsłabszych odmianach sha a zalecanym algorytmem jest argon2id - mr_jaro 2019-04-07 15:28
Hashujesz z dodanym saltem i porównujesz - Visual Code 2019-04-07 23:45

Pozostało 580 znaków

2019-04-07 15:25

Rejestracja: 1 rok temu

Ostatnio: 8 miesięcy temu

Lokalizacja: Aincrad

0
mr_jaro napisał(a):
Yukiteru Gromadzki napisał(a):

Czemu chcesz szyfrować hasła? Lepiej po prostu je za hashować.

Zauważ, że autor wątku to typowy początkujący, który nie rozróżnia hashowania od szyfrowania. Poza tym w twojej wypowiedzi widzę również błąd, haseł użytkowników nie wolno szyfrować, a ty podszedłeś, do tego jak do gorszej alternatywy.

czyli oznacza to, że mogę użyć algorytmów hashujących dostarczanych przez phpa? bo ogólnie myślałem, że lepiej jest mieć możliwość odszyfrowania hasła.

edytowany 1x, ostatnio: Słonecznik, 2019-04-07 15:26

Pozostało 580 znaków

2019-04-07 15:30

Rejestracja: 8 lat temu

Ostatnio: 10 godzin temu

Lokalizacja: Grudziądz/Bydgoszcz

0
Słonecznik napisał(a):

czyli oznacza to, że mogę użyć algorytmów hashujących dostarczanych przez phpa? bo ogólnie myślałem, że lepiej jest mieć możliwość odszyfrowania hasła.

do trzymania haseł używaj hashowania dostarczonego przez php minimum algorytmem bcrypt a obecnie zalecanym przez wszystkich jest argon2id dostępny w php od wersji jeśli się nie mylę 7.2 haseł użytkowników nikt nie ma prawa znać oprócz użytkownika!!!

Argon2i od PHP 7.2, Argon2id od 7.3. A co powiesz na logowanie haseł przez FB? :P https://niebezpiecznik.pl/pos[...]lionow-hasel-facebook-wyciek/ - ccwrc 2019-04-07 16:37
@ccwrc: co mam powiedzieć, pewnie dostaną kolejną kare bo ue jest ostatnio na nich cięte, pare mln w ta czy w tamtą nic im nie robi. - mr_jaro 2019-04-07 16:56

Pozostało 580 znaków

2019-04-07 15:32

Rejestracja: 4 lata temu

Ostatnio: 7 godzin temu

Lokalizacja: Piwnica

3

Algorytmy, srytmy, jak ktoś ma dostęp do twojej bazy to masz większy problem niż siła algorytmów :D


Pozostało 580 znaków

2019-04-07 15:36

Rejestracja: 8 lat temu

Ostatnio: 10 godzin temu

Lokalizacja: Grudziądz/Bydgoszcz

0
czysteskarpety napisał(a):

Algorytmy, srytmy, jak ktoś ma dostęp do twojej bazy to masz większy problem niż siła algorytmów :D

Wiadomo, ale jak ktoś już się włamał to ograniczmy skutki, także róbmy wszystko zgodnie z obecnymi normami, zaleceniami i prawem. Miałem parę lat temu włamanie do serwera swojego przez błąd admina, jakby ktoś jeszcze mógł odczytać lub zrobić kolizje hasła userów to bym się chyba powiesił.

edytowany 1x, ostatnio: mr_jaro, 2019-04-07 15:36

Pozostało 580 znaków

2019-04-07 15:37

Rejestracja: 6 lat temu

Ostatnio: 6 miesięcy temu

0

jeszcze nie powstała funkcja: md5_decode($twoje_haslo); :D

Pozostało 580 znaków

2019-04-07 15:39

Rejestracja: 4 lata temu

Ostatnio: 7 godzin temu

Lokalizacja: Piwnica

0

Ostatnio była afera na wykopie, ktoś przejmował konta, okazało się, że ludzie stosują hasła dupa123 (i to jedno do kilku portali) i potem zdziwienie, na głupotę nie poradzisz, ew. możesz wymusić długie+znaki specjalne.


Ale hasła z losowych cyfer i liter są trudne do zapamiętania, możesz utracić te dane i w ten sposób nie mieć dostępu do serwisu. I o tym zdaje się hakerzy doskonale wiedzą :-) - drorat1 2019-04-07 16:22

Pozostało 580 znaków

2019-04-07 15:42

Rejestracja: 8 lat temu

Ostatnio: 10 godzin temu

Lokalizacja: Grudziądz/Bydgoszcz

0

@au7h ja tam widzę algorytmy na w miarę szybkie kolizje md5 sprzed 15 lat
@czysteskarpety jasne, ale wtedy to już nie moja wina

Pozostało 580 znaków

Odpowiedz

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0