[php] beveiliging login

Simon schreef op zaterdag 20 november 2004 @ 16:14:
Mag ik vragen wat het nut is van een dergelijke beveiliging? Ik denk dat dit niet echt heel veel veiliger is. Je beveiligt nu maar op 1 punt... Zorg bijvoorbeeld dat die wachtwoorden eerst via JS gemd5t/sha't worden, en dan pas verzonden...

indien de gebruiker alle gegevens invoert, word van de code (beveiligingscode+gegenereert getal), verificatiecode, en wachtwoord een sha1 string gemaakt en dat gestuurd voor bevestiging.

thijswalc schreef op zaterdag 20 november 2004 @ 16:16:
[...]


[...]

Verwijderd schreef op zaterdag 20 november 2004 @ 16:12:
En bepaalde gebruikers willen niet steeds hun username/wachtwoord tikken, maar ik haal die natuurlijk leeg voordat ik submit. Hoe kan ik ervoor zorgen dat zij hun ww kunnen opslaan en ik niet het wachtwoord over het internet hoef te sturen

Erkens schreef op zaterdag 20 november 2004 @ 16:21:
[...]

dat is de taak van de browser om een dergelijke service aan te bieden

XanderH schreef op zaterdag 20 november 2004 @ 16:29:
[...]


Alleen lijkt me dat de meeste browsers dit niet meer doen als de inputvelden leeggemaakt worden voor het submitten?

Verwijderd schreef op zaterdag 20 november 2004 @ 16:52:
[...]


Helaas leven we in de wereld waarin we rekening moeten houden met slechte browser en beperkte mogelijkheden

Verwijderd schreef op zaterdag 20 november 2004 @ 16:52:
[...]
ik zou hier graag een discussie van willen maken of men vind of deze beveiligingen zin hebben? en of het beter kan?

XanderH schreef op zaterdag 20 november 2004 @ 17:01:
Mja, serieus, ik vind het een leuk projectje... maar als beveiliging voor een CMS vind ik het een beetje zware overkill....

offtopic:
zit wel een spelfout in je cms: "indien u gehackt wordt"

@Abdul Rahman: ok, maar ik dacht ik meld het even... staat zo slordig in een cms

[ Voor 59% gewijzigd door Akerboom op 20-11-2004 17:14 ]

Verwijderd schreef op zaterdag 20 november 2004 @ 17:07:
@ Erkens: er zijn natuurlijk meer redenen waarom je een betere beveiliging zou willen hebben. Niet elke klant kan eenvoudig kiezen voor SSL of vind dat te duur.

TormentoR schreef op zaterdag 20 november 2004 @ 17:09:

offtopic:
zit wel een spelfout in je cms: "indien u gehackt wordt"

[ Voor 20% gewijzigd door Erkens op 20-11-2004 17:14 ]

Verwijderd schreef op zaterdag 20 november 2004 @ 17:16:
@ Simon: kun je dit toelichten?

Verwijderd schreef op zaterdag 20 november 2004 @ 17:25:
[...]


Klopt, heb ook idee'en om wat andere beveiligingen in te bouwen, ip & browser check (en als dat mislukt, logout).

maja, achter een proxy heeft dat weinig zin.

Zo wie zo geef mijn cms niet zo snel sessie id's weg, blijft in de cookie, maargoed.

AaroN schreef op zaterdag 20 november 2004 @ 17:31:
Denk eraan dat je ook de tijd in die hash verwerkt. Zo heeft een eventuele spoofer ook geen succes. Aangezien je de hash steeds aanpast.

Verwijderd schreef op zaterdag 20 november 2004 @ 18:26:
[...]


tot iemand in de handen komt van de sessieID, magoed, daar gaan we niet uitkomen.

Verwijderd schreef op zaterdag 20 november 2004 @ 18:26:
[...]


tot iemand in de handen komt van de sessieID, magoed, daar gaan we niet uitkomen.

[ Voor 18% gewijzigd door eghie op 22-11-2004 10:58 ]

[ Voor 33% gewijzigd door Verwijderd op 22-11-2004 10:43 ]

Verwijderd schreef op maandag 22 november 2004 @ 10:43:
of je gebruikt gewoon md5 encryption

edit: of zeg ik nu weer wat doms

[ Voor 49% gewijzigd door Gerco op 22-11-2004 10:49 ]

Verwijderd schreef op maandag 22 november 2004 @ 10:43:
of je gebruikt gewoon md5 encryption

edit: of zeg ik nu weer wat doms

eghie schreef op maandag 22 november 2004 @ 10:33:
[...]

Wat kan iemand allemaal, als hij je sessieID in handen krijgt

* curry684 wijst subtiel naar curry684 in "ReactID misbruik en de gevolgen"

curry684 schreef op maandag 22 november 2004 @ 12:34:
[...]

* curry684 wijst subtiel naar curry684 in "ReactID misbruik en de gevolgen"

* eghie geeft maar even aan dat hij dat gelezen heeft, maar toch bedankt

[ Voor 5% gewijzigd door eghie op 22-11-2004 12:57 ]

eghie schreef op maandag 22 november 2004 @ 12:56:
[...]

* eghie geeft maar even aan dat hij dat gelezen heeft, maar toch bedankt

Maar ik vraag me af, wat iemand kan doen met die sessie id, maar dan de technische kant. In jouw bericht gaat het vooral om dit forum en is het vrij algemeen, maar kan je normaal bijv. ook sessie id's aan URL's koppelen. Of moet je dat inbouwen in je software

En krijg je daarmee ook al de sessie variablen die bij die sessie horen

curry684 schreef op maandag 22 november 2004 @ 13:02:
een verhaaltje over sessie id's.

dev icey schreef op maandag 22 november 2004 @ 13:21:
een uitgebreid verhaaltje over sessies

offtopic:
Hoe hete ook alweer zo'n afbeelding waarin je een verificatie code indrukt die de gebruiker dan moet overtypen om bots tegen te houden Ow laat maar. Ze heten keyphrases ofzo.

[ Voor 28% gewijzigd door eghie op 22-11-2004 22:30 ]

AirX schreef op maandag 22 november 2004 @ 13:42:
Je kunt ook iets client-side maken ... dus een programma maken die dmv een code op de website een eenmalige inlogcode maakt. Zo heb je ook geen problemen van keyloggers, omdat de inlogcode maar één keer te gebruiken is

eghie schreef op dinsdag 23 november 2004 @ 15:59:
Waarom moet je die beveiligingscode (in de TS) invoeren met die knoppen Die keyphrase is toch al genoeg tegen automagische programma's

XanderH schreef op dinsdag 23 november 2004 @ 16:03:
[...]


Om ook keyloggers nog eens tegen te houden?

XanderH schreef op dinsdag 23 november 2004 @ 16:06:
Terwijl het ook nog eens letterlijk in de TS staat

[...]

[ Voor 91% gewijzigd door eghie op 23-11-2004 17:21 ]

eghie schreef op dinsdag 23 november 2004 @ 16:04:
[...]

Nog niet eens aan gedacht

eghie schreef op dinsdag 23 november 2004 @ 16:04:
- Server genereerd 2 code's in de vorm van een image, een getal die de gebruiker mot optellen bij zijn beveiligingscode en moet invoeren met de knopen. (beveiliging tegen keyloggers oa).

[ Voor 27% gewijzigd door Xander op 23-11-2004 16:06 ]

eghie schreef op dinsdag 23 november 2004 @ 16:04:
Is het trouwens veilig om in je app zelf te checken of het wachtwoord geldig is, ipv de SQL database Ik doe dit nu, omdat ik de hash in de database nog een keer moet hashen met een random getal, om het zo nog veiliger te maken.

[ Voor 6% gewijzigd door dev icey op 23-11-2004 17:48 ]

dev icey schreef op dinsdag 23 november 2004 @ 17:48:
[...]


Zou je het nog een keer kunnen uitleggen, ik snap niet echt wat je met deze vraag bedoeld? Wat ik ervan kan maken is dat je wilt weten of je in php moet controleren of de ingevoerde wachtwoord geldig is, of door sql moet laten doen middels "WHERE password = '" . $password . "'" ?

Mijn antwoord is, als je het wachtwoord in de database hebt zitten(md5), en je een hash krijgt van de inlogpagina: bijv. hash = md5(key+username+md5(ww)). Dan zou ik, wat volgens mij de enige manier is de password uit de database halen, op dezelfde manier hashen als de inlogpagina deed, zodat je ze dan nog steeds in php aan elkaar gelijk kan stellen.

eghie schreef op woensdag 24 november 2004 @ 09:45:
Trouwens, geeft het een extra veiligheid, als ik zowel de sessie als de cookie aan een IP lock Of is dat onzin/overbodig

Erkens schreef op woensdag 24 november 2004 @ 10:04:
[...]

je weet wat een cookie is?

* eghie gaat eerst maar eens echt in cookies verdiepen

[ Voor 22% gewijzigd door eghie op 24-11-2004 10:19 . Reden: request moet response zijn ]

eghie schreef op woensdag 24 november 2004 @ 10:08:
[...]

Ja ok, het hoort bij je sessie. Maar je hebt wel verschillen.

asp.net voorbeeld: session.Add("IP") is anders dan Request.Cookies.Add("IP").

Erkens schreef op woensdag 24 november 2004 @ 10:15:
[...]

ehm, een cookie hoort niet bij een sessie, een cookie kan je helpen om een sessie te behouden
een cookie stuur je dus naar de browser en daar een ip aan toevoegen voegt niks toe, dat heeft geen toegevoegde waarde.
immers een cookie stuurt de browser steeds mee, en is dus nooit te vertrouwen, deze kan immers gefaked worden. (never trust userinput)

[ Voor 4% gewijzigd door eghie op 24-11-2004 10:47 ]

[ Voor 23% gewijzigd door Erkens op 24-11-2004 10:53 ]

Erkens schreef op woensdag 24 november 2004 @ 10:52:
Ik zet gewoon een cookie met een eigen sessie id, welke ik in de database check of het geldig is. Extra dingen in cookies zetten is niet nodig. Want waarom zou je uberhaupt dingen als IP's willen opslaan in een cookie, dat is gewoon echt niet nuttig, want dat ip heb je ook al met $_SERVER['REMOTE_ADDR'] en waarom zou je die ook nog willen op kunnen vragen met $_COOKIE['IP'] zinloze verspilling van een cookie.

[edit]
Overigens is SSL geen toverwoord waarmee je pagina's direct veilig zijn, het encrypt enkel de verbinding, niet tegen jou gericht hoor, maar sommige denken dat met SSL alles veilig te krijgen is

1
2
3
4
5
6
7
8

if ($_COOKIE['IP'] == $_SERVER['REMOTE_ADDR'] && $_SESSION['IP'] == $_SERVER['REMOTE_ADDR'])
{
    login = true;
}
else
{
    login = false;
}

eghie schreef op woensdag 24 november 2004 @ 11:05:
[...]

Met het IP in cookie pas ik IP locking toe.

Pseudo code: (PS. let niet op deze code, het zal ongetwijfeld niet kloppen, maar het gaat om het idee)(wannabee php)

PHP:

1 2 3 4 5 6 7 8

if ($_COOKIE['IP'] == $_SERVER['REMOTE_ADDR'] && $_SESSION['IP'] == $_SERVER['REMOTE_ADDR']) { login = true; } else { login = false; }

Zo wil ik checken of het IP in de cookie en sessie klopt met de echte IP van de bezoeker, dan is die cookie wat moeilijker te faken.

1

$login = ($_SERVER['REMOTE_ADDR'] == $_SESSION['IP']);

Erkens schreef op woensdag 24 november 2004 @ 11:12:
...en als je echt kwaad wil dan verander je dat cookie met het ip toch ook gewoon

eghie schreef op woensdag 24 november 2004 @ 10:46:
... Dit in combinatie met IP lock, voor zowel cookie als sessie, met gehashed IP met random waardes (kun je heeel moeilijk faken) ...

Erkens schreef op woensdag 24 november 2004 @ 11:20:
jij snapt waarschijnlijk niet wat je doet
immers, dat cookie met dat IP is gewoon een extra weergave van de standaard $_SERVER['REMOTE_ADDR'] niks meer, niks minder. Nu heb je een cookie met je session id erin, in je sessie staat welk IP bij deze sessie hoort, je checked het ip uit $_SERVER['REMOTE_ADDR'] met het ip uit je sessie, zodra dit matched is het goed, matched het niet dan is het ip anders, waarom dan toch nog een cookie met het ip toevoegen?
Of wil je ook cookies toevoegen met username en password ofzo omdat zeker te zijn dat het klopt

$_SERVER['REMOTE_ADDR'] is niet te faken, $_COOKIE[] wel, dus welke vertrouw je

[ Voor 5% gewijzigd door eghie op 24-11-2004 11:32 ]

Verwijderd schreef op woensdag 24 november 2004 @ 12:08:
Het is in deze thread al een paar keer genoemt, maar waarom is op GOT een disussie over web apps meteen gelijk aan PHP?

Mij is altijd geleerd dat niet de hele web wereld op PHP draait. Er schijnt nog zoiets te zijn als J2EE en ASP onder andere. Deze discusssie is gewoon algemeen voor web security en heeft erg weinig met de taal PHP te maken.

Verwijderd schreef op woensdag 24 november 2004 @ 12:08:
Het is in deze thread al een paar keer genoemt, maar waarom is op GOT een disussie over web apps meteen gelijk aan PHP?

Mij is altijd geleerd dat niet de hele web wereld op PHP draait. Er schijnt nog zoiets te zijn als J2EE en ASP onder andere. Deze discusssie is gewoon algemeen voor web security en heeft erg weinig met de taal PHP te maken.

Verwijderd schreef op woensdag 24 november 2004 @ 13:00:
Bovendien is dit hele topic toch al bruut gekaapt. Over veilig inloggen gaat het al lang niet meer

Verwijderd schreef op woensdag 24 november 2004 @ 13:07:
Dat bedoelde ik met offtopic gaan.

Verwijderd schreef op zaterdag 20 november 2004 @ 18:26:
[...]


tot iemand in de handen komt van de sessieID, magoed, daar gaan we niet uitkomen.

Verwijderd schreef op zaterdag 20 november 2004 @ 18:28:
[...]


Dat probleem blijf je altijd houden...

Verwijderd schreef op woensdag 24 november 2004 @ 13:43:
Dat de TS met PHP begon is mischien wel zo, maar alles gaat toch helemaal niet daarover? Het gaat over sessies, methoded om passwords te verzenden, methoden voor veilige communicatie enz. Wat in deze thread is nou PHP specificiek dan?

Verwijderd schreef op woensdag 24 november 2004 @ 13:07:
Nou, van veilig inloggen, zijn we opeens bij sessies belandt. Tuurlijk heeft dat enig verband met elkaar, maar dit topic gaat volgens mij over veilig inloggen. Daarin kan je dus discussieren over technieken om in te loggen. Dat een grote en ingewikkelde inlogprocedure geen nut heeft wanneer de aanvaller simpel de sessie kan kapen, is een ander punt. Dat heeft niets meer te maken met het inloggen zelf.
Dat een sessie simpel te kapen is, heeft niets meer met het inloggen an sich te maken. De inlogprocedure is dan nog wel veilig, maar is er gewoonweg ergens anders een fout in geslopen.
Dat bedoelde ik met offtopic gaan.

offtopic:
Dit topic gaat inderdaad over veilig inloggen, maar bij veilig inloggen moet je niet alleen de goede methodes hebben, maar ze ook goed en veilig gebruiken. Bij inloggen heb je natuurlijk ook sessie's en cookie's. Dit hoort ook allemaal bij het veilig inloggen, want is het inloggen nog steeds veilig als je zo maar een sessie van iemand kunt kapen Het inloggen is bedoelt om alleen toegestane gebruikers toegang te geven. Daarvoor moet je niet alleen naar het inlog procedure kijken, maar naar je hele web applicatie.

De TS begon mischien wel met PHP, maar het probleem ligt bij alle webapps, dus er mogen ook best andere talen behandeld worden en dat gebeurt ook wel. Ik heb bijv. ASP.NET gebruikt om uit te leggen. Daar is verder niks mis mee, omdat dit topic niet specifiek over PHP gaat (ook al begint de TS er wel mee). Plus dat je ook andere talen zo om kan zetten naar je eigen taal, omdat het principe hetzelfde is.

[ Voor 21% gewijzigd door eghie op 24-11-2004 14:28 . Reden: ff offtopic gedeelte tussen tags gezet ]

eghie schreef op woensdag 24 november 2004 @ 14:17:
Wat je ook nog als optie erin kunt zetten is na bijv. 20 keer fout inloggen, dat je dan word gebanned. En dat je naar 3 keer inloggen een aparte pagina krijgt met de waarschuwing dat je 3x fout ingelogd bent en dat je dan ook wordt gelogd.