[PHP] Beveiliging Registratie Process - Softwareontwikkeling

vrijdag 28 maart 2008 11:34

Acties:

Verwijderd

Topicstarter

Ik ben bezig met een php/mysql login systeempje.

Het inlog proces zelf is goed te beveiligen doormiddel van
een challenge-response authenticatie en wat dingetjes om
de sessies te beveiligen, maar ik zit met het volgende.

Voordat een een gebruiker kan inloggen op het systeem
zal hij zich moeten registreren. Tijdens deze registratie
worden het wachtwoord en andere persoonlijke gegevens
gewoon plaintext over het net gestuurd. Dat wil ik natuurlijk
niet, dan maakt ik het een eventuele hacker wel erg makkelijk.

Challenge response of encryptie lijkt mij hier geen oplossing
omdat het wachtwoord aan de server kant nog niet bekend is
er dus geen sprake van een shared secret waarmee de data
versleuteld kan worden.

De user eerst om een emailadress vragen en vervolgens een
key per email sturen lijkt me ook geen oplossing, omdat ook
emails makkelijk onderschept kunnen worden.

Heeft iemand een idee hoe ik deze communicatie tussen de
registratie pagina en de server kan beveiligen?
zonder gebruik te maken van ssl wel te verstaan?

vrijdag 28 maart 2008 11:51

Acties:

Laurens-R

niet....

Tenzij je een encryption algoritme in JavaScript kan maken, is er afgezien van SSL niet echt iets wat je kan gebruiken.

SSL is bij uitstek juist de techniek die je in dit soort situaties moet gebruiken. HTTP is tenslotte een clear-text protocol...

[ Voor 33% gewijzigd door Laurens-R op 28-03-2008 11:52 ]

vrijdag 28 maart 2008 11:54

Acties:

EnnaN

Toys in the attic

ik zie meer in je JavaScript voorstel? Als in, je slaat dat wachtwoord otch versleuteld op,dus laat de browser / gebruiker dat wachtwoord versleutelen, en dan ben je thuis-vrij. Je stuurd dan net zoals anders je ww encrypted over teh webs toch?

sig

vrijdag 28 maart 2008 11:58

Acties:

LuCarD

Certified BUFH

EnnaN schreef op vrijdag 28 maart 2008 @ 11:54:
ik zie meer in je JavaScript voorstel? Als in, je slaat dat wachtwoord otch versleuteld op,dus laat de browser / gebruiker dat wachtwoord versleutelen, en dan ben je thuis-vrij. Je stuurd dan net zoals anders je ww encrypted over teh webs toch?

Maar je stuurt ook de encryptie en de benodigde keys over het net. Bij een SSL verbinding is de encryptie wel bekend maar de keys worden niet over het net gestuurd.

Daarnaast kan je ook een replay doen van de encrypted data.

[ Voor 5% gewijzigd door LuCarD op 28-03-2008 11:59 ]

Programmer - an organism that turns coffee into software.

vrijdag 28 maart 2008 12:01

Acties:

Rukapul

EvilB2k schreef op vrijdag 28 maart 2008 @ 11:51:
niet....

Het enige juist antwoord.

Tenzij je een encryption algoritme in JavaScript kan maken, is er afgezien van SSL niet echt iets wat je kan gebruiken.

Nee. Het belangrijkste van TLS (SSL 3.1) is dat de client weet dat hij met een vertrouwde partij praat en dat er een geheim is (public/private key pair) waar de rest van de veiligheid aan opgehangen kan worden. Geen enkele zelf knutsel oplossing zal datzelfde effect bereiken.

EnnaN schreef op vrijdag 28 maart 2008 @ 11:54:
ik zie meer in je JavaScript voorstel? Als in, je slaat dat wachtwoord otch versleuteld op,dus laat de browser / gebruiker dat wachtwoord versleutelen, en dan ben je thuis-vrij. Je stuurd dan net zoals anders je ww encrypted over teh webs toch?

Er zijn geen sleutels om mee te encrypten of om sleutels mee af te spreken. Je houdt per definitie dus niet meer over dan een matige vorm van obfuscatie.

Deze zelf knutsel oplossingen zijn dus per definitie keyless en dus hooguit een variant van een cryptografische hash functie.

[ Voor 5% gewijzigd door Rukapul op 28-03-2008 12:02 ]

vrijdag 28 maart 2008 12:53

Acties:

Verwijderd

Topicstarter

Ik kan me erg goed vinden in de antwoorden van Rukapul.

Maar vanuit dat oog punt verbaas ik me wel over de brakke beveiliging van een groot scala aan webapplicaties.

Wat is het nut van het beveiligen van een login procedure als je het registratieproces via http verstuurd en iedereen dus de credentials kan sniffen (misschien niet iedereen, maar die ene kwaadwillende wel)

Als we kijken naar een pakket als phpBB dat toch echt heel veel toegepast wordt, dan zien we dat er vaak geen gebruik wordt gemaakt van https voor de registratie pagina's. Maar wellicht zijn er gemakkelijkere manieren om dergelijke pakketen te hacken dan het sniffen van credentials.

vrijdag 28 maart 2008 13:13

Acties:

Peter_B

Zou je geen gebruik kunnen maken van een Public/Private key algoritme in javascript (RSA bijvoorbeeld). En dan je public key opsturen daarmee het ww encrypten en die terug posten naar de server.

Hou er wil rekening mee dat een Man in the middle je public key niet vervangt door jouw server key, zodast hij kan decrypten (zijn key pair) en encrypten (jouw public key). Hiervoor zou je hashes kunnne gebruiken.

Discoveries are made by not following instructions.

vrijdag 28 maart 2008 13:19

Acties:

Voutloos

Peter_B schreef op vrijdag 28 maart 2008 @ 13:13:
Hou er wil rekening mee dat een Man in the middle je public key niet vervangt door jouw server key, zodast hij kan decrypten (zijn key pair) en encrypten (jouw public key). Hiervoor zou je hashes kunnne gebruiken.

Nee, want die kan ook aangepast worden. Voor MitM moet je toch echt ssl certificates controleren.

Aan menig log/registratie form is heel wat te verbeteren, maar https met controle van gehele certificate chain moet je niet zelf na proberen te bouwen, dat moet je gewoon gaan gebruiken.

{signature}

vrijdag 28 maart 2008 13:24

Acties:

lammert

Ik begrijp niet zo goed waarom je met javascript workarounds aan de slag wil als er iets bestaat als SSL? Dit is een schoolvoorbeeld van een situatie waarin je SSL zou moeten gebruiken.

vrijdag 28 maart 2008 13:32

Acties:

LuCarD

Certified BUFH

lammert schreef op vrijdag 28 maart 2008 @ 13:24:
Ik begrijp niet zo goed waarom je met javascript workarounds aan de slag wil als er iets bestaat als SSL? Dit is een schoolvoorbeeld van een situatie waarin je SSL zou moeten gebruiken.

GELD.

SSL kost geld. Niet iedereen heeft het, maar iedereen schijnt het wel te willen.

2e reden: De uitdaging? Gewoon om te kijken of het kan. Of het nuttig is laat ik even in het midden.

Programmer - an organism that turns coffee into software.

vrijdag 28 maart 2008 13:32

Acties:

Peter_B

Voutloos schreef op vrijdag 28 maart 2008 @ 13:19:
[...]
Nee, want die kan ook aangepast worden. Voor MitM moet je toch echt ssl certificates controleren.

Aan menig log/registratie form is heel wat te verbeteren, maar https met controle van gehele certificate chain moet je niet zelf na proberen te bouwen, dat moet je gewoon gaan gebruiken.

Daar heb je gelijk in maar als je SSL goed wil doen moet je je certificaten via certified roots laten controleren en dat kost natuurlijk ook aanzienlijk (ik weet niet of dit een hobby project of echt iets groots is zoals internet bankieren o.i.d.).

En daarnaast; ik hou wel van een uitdaging, leuk hobby projectje

Discoveries are made by not following instructions.

vrijdag 28 maart 2008 13:39

Acties:

Verwijderd

Topicstarter

Het probleem is dat ssl niet voor iedereen toegankelijk is en certificaten kosten geld.

Bij het bedrijf waar ik werk willen ze volledige controlle op alle data die het netwerk verlaat en
alle gegevens die het netwerk inkomen. SSL pakketjes kunnen ze niet inkijken dus die worden standaard geweigerd.

Ik probeer gewoon een zo hoog mogelijk beveiligingsniveau te bereiken zonder van ssl gebruik te maken.

We zouden kunnen zeggen dat dit projectje een redeljik hobbiistische insteek heeft. SSL is gewoon te simpel, de vraag is hoe kan je, zonder ssl, nog voordat er bij beide partijen iets van een key bekend is, op een veilige manier data verzenden.

@lammert: Je hebt helemaal gelijk, maar d.m.v. dit knutsel projectje probeer ik voor mijzelf meer inzicht en kennis te verwerven van de security kant van het verhaal. Had ik gewoon SSL gebruikt dan had ik er straks een stuk minder van af geweten.

[ Voor 37% gewijzigd door Verwijderd op 28-03-2008 13:49 ]

vrijdag 28 maart 2008 14:05

Acties:

lammert

Certificaten duur? Je hebt certificaten voor een paar tientjes per jaar en al een Thawte webserver certificaat voor 70 euro/ jaar. Waarschijnlijk is dat bedrijf op dit moment al meer geld kwijt alleen omdat je tijd hebt besteed aan het nadenken hierover.

edit:
ik had niet door dat het een hobbyprojectje was, in dat geval is natuurlijk alle tijd die je eraan besteed te rechtvaardigen

en zoals je al zegt is het nog bijzonder leerzaam ook.

Je zou een SMS-je met een key kunnen overwegen?

[ Voor 33% gewijzigd door lammert op 28-03-2008 14:07 ]

vrijdag 28 maart 2008 14:09

Acties:

Verwijderd

Topicstarter

Zoals ik al zei dit is hobby niet voor een bedrijf. Ik verken de mogelijkheden gewoon uit eigen interesse.

Certificaten zijn inderdaad niet zo duur. De goedkoopste zijn er van minder dan 50 euro per jaar geloof ik en als je naar VeriSign gaat kijken kan je het ook zo duur maken als je zelf wil.

vrijdag 28 maart 2008 14:12

Acties:

Verwijderd

Topicstarter

@lammert:

Een smsje met een key daar had ik ook al aan zitten denken, maar heb de gedachte even weg gezet, omdat ik bang was dat zoiets duur en/of complex zou zijn om te realiseren.

Ik ga dat eens even uitpluizen.

Is er iemand die mij iets kan vertellen over een smsdienst via het web?

vrijdag 28 maart 2008 14:34

Acties:

Hydra

LuCarD schreef op vrijdag 28 maart 2008 @ 13:32:
[...]

GELD.

SSL kost geld. Niet iedereen heeft het, maar iedereen schijnt het wel te willen.

Dus je hebt een enorm security-kritische webapplicatie maar je bent te cheap om een SSL certificaat aan te vragen? Dat valt gewoon onder de ontwikkelkosten van een webapp, en in verhouding tot de ontwikkelkosten is die prijs niet enorm interessant.

En wat betreft het hobbyen: waarom zou je het wiel opnieuw uitvinden? Als het perse echt secure moet werk je toch met een challenge-responsesysteem zoals banken dat ook gebruiken.

Verwijderd schreef op vrijdag 28 maart 2008 @ 14:12:
Is er iemand die mij iets kan vertellen over een smsdienst via het web?

Zoek eens naar SMS-boxen of SMS-diensten. Een SMSje versturen vanuit een webapp is simpel als je de juiste hardware of SMS dienst hebt. We hebben zelf zo'n ding staan om SMSjes te sturen als er een demo down gaat.

[ Voor 39% gewijzigd door Hydra op 28-03-2008 14:41 ]

https://niels.nu

vrijdag 28 maart 2008 14:44

Acties:

Verwijderd

Topicstarter

@Hydra zoals hierboven al is gezegd is een hobby project om meer inzicht te krijgen in het beveiligen van webapplicaties en het gaat dus niet perse om wat een ssl certificaat kost en of ik dat wil betalen.

Ik gebruik in zekere zin ook wel een challenge-reponse systeem voor de login, maar als je geen shared key hebt in zo'n situatie (de server weet nog niks van de gebruiker, zeker niet iets dat "alleen" de gebruiker weet, zoals een wachtwoord) dan kan je dat niet geheel veilig toepassen.

zondag 27 april 2008 21:16

Acties:

Xcalibur

Verwijderd schreef op vrijdag 28 maart 2008 @ 14:12:
Is er iemand die mij iets kan vertellen over een smsdienst via het web?

www.mollie.nl

Er zijn er nog meer, maar met deze heb ik ervaring...

Je kunt natuurlijk ook het wachtwoord per post sturen, dat zou op zich wel redelijk veilig moeten zijn, alleen wat traag ;-)

Overigens zie ik ook weinig problemen met het mailen van een wachtwoord? Zolang de bijbehorende username niet bekend is heb je toch niets aan die informatie?

zondag 27 april 2008 21:34

Acties:

DukeBox

loves wheat smoothies

LuCarD schreef op vrijdag 28 maart 2008 @ 13:32:
SSL kost geld. Niet iedereen heeft het, maar iedereen schijnt het wel te willen.

Vind dat geen reden meer.. nog geen 30€ per jaar.. dat heb je er alleen al uit als je je nu een uurtje programmeren kan bestparen.

2e reden: De uitdaging? Gewoon om te kijken of het kan. Of het nuttig is laat ik even in het midden.

Uitdaging is natuurlijk altijd een goede reden

Echter, ik weet niet wat voor site het is maar als ik denk als een internet leek kijk ik bij dingen waar ingelogged moet worden altijd naar het slotje.. is dat er niet, dan geef ik niet mijn gegevens in.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 18 mei 2008 18:44

Acties:

Tanuki

Xcalibur schreef op zondag 27 april 2008 @ 21:16:
[...]

www.mollie.nl
Er zijn er nog meer, maar met deze heb ik ervaring...

Je kunt natuurlijk ook het wachtwoord per post sturen, dat zou op zich wel redelijk veilig moeten zijn, alleen wat traag ;-)

Dan moet je wel 100% zeker zijn dat je de postbode kunt vertrouwen. Hij hoeft de enveloppe maar open te maken en hij weet het wachtwoord.

PV: Growatt MOD5000TL3-XH + 5720wp, WPB: Atlantic Explorer v4 270LC, L/L: MHI SCM 125ZM-S + SRK 50ZS-W + 2x SRK 25ZS-W + SRK 20ZS-W Modbus kWh meter nodig?

Pagina: 1

Reageer