[PHP & MySQL] Form waarde versturen zonder md5 (oid) veilig?

Veel verstand heb ik niet van beveiliging (houd je mond dan Ivy; weet ik..) maar niet-versleutelde data zoals jij dat wilt versturen (= POST data zonder encryptie ) is gemakkelijk te onderscheppen.

Zet daarbij nooit niet-versleutelde wachtwoorden zo in je databeestje. Stél dat er iemand in kan kijken, kan hij- of zij de wachtwoorden letterlijk kopieren en er mee doen wat hij/zij wil.

Gewoon lekker met MD5 in je database zetten is dus de conclusie. Vindt ik dan he

Stel jezelf de vraag "Als een kwaadwillende het wachtwoord in handen krijgt, wat zijn dan de gevolgen?" Als de gevolgen der mate ernstig zijn dat er van alles mis kan gaan waar jíj verantwoordelijk voor bent als ontwikkelaar, is het wellicht een kleine moeite om e.e.a. te versleutelen.
Als er daarentegen weinig mis kan gaan áls het wachtwoord verkregen wordt, lekker zo laten zou ik zeggen.

[ Voor 34% gewijzigd door Verwijderd op 11-04-2004 13:51 ]

Dat is een basis login systeempje.

Waar het onveilig zou kunnen zijn:
1. Iemand verschaft zichzelf toegang tot de DB, en kan dus de plaintext passwords lezen.
2. Iemand ontdekt dmv. een sniffer wat er over de lijn gaat (plaintext dus) en weet het wachtwoord.

De kans dat deze twee dingen gebeuren zijn echter niet zo groot, afhankelijk van de waarde van de data achter het wachtwoord
Als je verder degelijke code schrijft en oppast voor SQL injection e.d. kan er niet zo heel veel mis gaan ..

Hier staat een interessant topic over het voorkomen van sniffen zonder SSL te gebruiken.

[ Voor 21% gewijzigd door RupS op 11-04-2004 13:50 ]

Cubix schreef op 11 april 2004 @ 13:52:
[...]


Als je gebruik maakt van de php functie md5 gaat het password toch ook plain over de lijn, aangezien php server side is?

Dan weet je in ieder geval dat de wachtwoorden niet open en bloot in je DB staan mocht die gehacked worden

[ Voor 11% gewijzigd door Osiris op 11-04-2004 13:54 ]

Cubix schreef op 11 april 2004 @ 13:52:
[...]

Als je gebruik maakt van de php functie md5 gaat het password toch ook plain over de lijn, aangezien php server side is?

Nogmaals, het hangt er helemaal vanaf hoe erg het zou zijn als iemand wél het wachtwoord in handen krijgt.

Als het alleen maar is om een nieuwsberichtje toe te voegen op een site o.i.d. dan is er niets aan de hand lijkt me.
Als je echter met het wachtwoord toegang krijgt tot (bank)rekeningen etc. dan zul je een beveiligde server moeten hebben, bijvoorbeeld met SSL encryptie.
Oftewel, het mooie slotje onderaan je pagina bij bijvoorbeeld Rabobank Internetbankieren.

[ Voor 5% gewijzigd door Verwijderd op 11-04-2004 14:05 ]

Osiris schreef op 11 april 2004 @ 13:53:
[...]

Dan weet je in ieder geval dat de wachtwoorden niet open en bloot in je DB staan mocht die gehacked worden

edit:
Moet je het wel als MD5 opslaan natuurlijk en met md5() vergelijken

Daar ben je dan naturlijk heel blij mee maar daar heb je evenveel aan als in het geval dat je wachtwoorden door een dwerg in het sanskriet in prachtige leistenen tabletten gebeiteld worden: de toegang tot je DB ligt open. Hoe je PW wordt opgeslagen doet m.i. niet terzake.

Dit schijnt als je geen SSL hebt ook een redelijk veilige methode te zijn: http://www.phpfreakz.nl/artikelen.php?aid=98