Kan iemand me misschien een zeer goed beveiligd account systeem aanbevelen? Waar ik dus met een gerust hart zeer vertrouwelijke informatie kan opslaan. Liefst een open source.. maar heb gehoord dat die minder hack proof zijn?
Open source betekent dat iedereen de source kan downloaden en inkijken, dus ook kwaadwillenden. Nogal logisch dat beveiligingslekken in deze systemen sneller gevonden worden. En inderdaad: een waterdicht systeem bestaat gewoonweg niet.
Liefst een open source.. maar heb gehoord dat die minder hack proof zijn?
En wanneer gaan we minder bekrompen denken? Opensource betekent inderdaad dat iedereen eraan kan maar dat betekent ook dat bugs sneller gevonden worden want er kijken immers duizenden mensen naar je code terwijl intern in een bedrijf dat gebeurt door 10 developpers.
Je kan misschien ook OpenID gebruiken als login voor je website?
Volgens mij ben jij een beetje een leek in Informatica, dat is niet kwaad bedoeld, maar het is wel degelijk zo.
Een volledig beveiligd programma / website is nog steeds niet waterdicht.
Zoals een van mijn voorgangers vertelde is een SSL verbinding als een super idee.
Gewoon eens wat googlen hoe je dat aan de praat kan krijgen, en vervolgens kan je ook nog een beetje opzoeken wat de mogelijke zonden zijn van software ontwikkeling. Als je dat allemaal eens hebt bekeken, weetje meteen waarom, hoe je te werk moet gaan.
Een product aankopen en dat aanpassen zal beter gaan.
Nog wat goede tips:
- Ga niet bij 'verkeerde inlog'-problemen aankondigen OF de gebruikersnaam OF het wachtwoord niet goed is, maar zeg gewoon dat "het inloggen niet lukte omdat een of beiden niet goed ingevuld zijn".
- Sla passwoorden op in SHA1() of MD5)(, maar gebruik wel een salt die je bij je eigen houdt. je zou de eerste xx aantal tekens van de username kunnen nemen om het heel lastig te maken voor hackers mochten ze je encoded paswoorden hebben, en ze die willen decoden met woordboeken...
- Na 3x een foute inlogpoging blokkeer je het account voor een bepaalde tijd.
- Na 3x een foute inlogpoging blokkeer je het account voor een bepaalde tijd.
Bedoel je met cookies? want die kan je makkelijk als hacker weer weggooien... Als je in de database opslaat dat Pietje Puk even niet mag inloggen, dan kan iemand ook (als hij weet dan Pietje Puk wil inloggen) expres het 3 keer verkeerd invullen, om Pietje Puk te pesten, zodat Pietje Puk niet in kan loggen.
Nee, natuurlijk niet. Lekker in de database opslaan natuurlijk.
Je kan er ook een tijd aan hangen natuurlijk. Dat het account voor 10 minuten geblokkeerd is. Je moet natuurlijk niet aan de grote klok gaan hangen dat je zo'n drempel op je site hebt.
vertrouwelijke info online gooien is op zich al niet zo'n goed idee...
En wil je een hack proof systeem?
Draai alles localhost, trek je internet uit je PC, stroom uittrekken en zet je PC in een kluis...
Niemand die eraan geraakt en geen enkele hacker zal je gegevens kunnen stelen...
vertrouwelijke info online gooien is op zich al niet zo'n goed idee...
En wil je een hack proof systeem?
Draai alles localhost, trek je internet uit je PC, stroom uittrekken en zet je PC in een kluis...
Niemand die eraan geraakt en geen enkele hacker zal je gegevens kunnen stelen...
Theoretisch gezien natuurlijk...
nee, hier heeft de poster wat aan.
edit:
om zelf nog enige inbreng te hebben:
zoek eens op www.sourceforge.net op php membersystem.
ik weet zeker dat je er daar een paar goede tussen vind.
Inderdaad weer een typische sitemasters opmerking van UpLink maar goed. Het is me duidelijk dat er niets 100% beveiligd kan worden, sterker nog heb een opleiding beveiliging gedaan dus weet hier alles van. Oke ik heb misschien een verkeerde titel gekozen maar het komt er gewoon op neer of iemand een moeilijk te hacken systeem weet. Moet toch redelijk veilig kunnen lijkt me anders zou er geen internet bankieren en dergelijke bestaan. ;) @pijke maar welke is dan het beste is mijn vraag, een systeem vinden kan ik ook wel maar een veilig systeem weet ik niet waar ik op moet letten. Dank voor de behulpzame reacties alvast allemaal
kijk of alle input geëscaped wordt.
kijk of wachtwoorden gehashed opgeslagen worden in de database.
dan ben je al een heel eind.
verder, probeer het zelf eens te hacken.
als je binnen kunt komen, weggooien of gat dichten.
Sorry, maar je hebt een opleiding beveiliging gevolgd zeg je? Hoezo weet je dan niet waar je op moet letten bij beveiliging? Kun je de naam van je opleiding geven dan weten mensen waar ze niet heen moeten
Zoals eerder in deze thread al aangegeven door Aar zijn er een aantal factors voor beveiliging genoemd. Als je deze in je zoekactie opneemt dan kan je inlogscripts vergelijken door naar deze criteria te kijken. Ik zelf gebuik ook deze criteria voor mijn login systemen. Doe dit over een beveiligde verbinding en je bent al een stuk "veiliger" bezig.
Mocht je niks zelf willen programeren dan kan je ook kijken naar OpenID of natuurlijk naar verschillende OAuth providers. Bij OAuth zou ik zelf gebruik maken van de wat grotere namen zoals Twitter, Facebook, Google aangezien veel gebruikers hier al accounts hebben.
Ik wens je succes in je zoekactie, maar kant en klare scripts zul je hier niet snel krijgen. Mensen die serieus aan beveiliging denken maken het of zelf of gebruiken er eentje die bij het framework van keuze past.
ps, bijna alle bovenstaande informatie was allemaal al te vinden in je thread!
Sorry, maar je hebt een opleiding beveiliging gevolgd zeg je? Hoezo weet je dan niet waar je op moet letten bij beveiliging? Kun je de naam van je opleiding geven dan weten mensen waar ze niet heen moeten Â
Weer een typische sitemasters opmerking van iemand met het IQ van een gebraden visstick!
Koen schreef:
Het is wel aan die persoon met het IQ van de gebraden fishstick dat je je vraag stelt, dus let een beetje op je woorden.
Dat is een object/openbaar beveiligers opleiding geen informatica.
Ik vraag me toch af wat het verschil is tussen het IQ van een visstick of een gebraden visstick ;)
Het is jammer dat je zo reageert, puur om het feit dat mijn aanname dat je een IT gerelateerde opleiding hebt genoten niet zo vreemd is op een IT forum.
Ik zou zeggen doe je best met de informatie die je hebt er je bent namelijk al meerdere malen in de juiste richting gewezen. Maar je doet er niks mee sterker nog het lijkt erop dat je zit te wachten totdat iemand voor je gaat zoeken naar het meest geniale systeem. Ik ben bang dat je dan lang kan gaan wachten die bestaat namelijk niet. Niet om de eerdere genoemde feiten dat niks 100% beveiligd kan worden. Maar om het feit dat elk login systeem aan andere eisen moet voldoen denk bijvoorbeeld aan rechten management.
Het feit dat ik deze vraag stel geeft aan dat ik geen IT beveiliging heb gedaan, anders zou ik deze vraag niet hoeven te stellen. Inderdaad ik heb er nog niets mee gedaan, moet dat dan perse mag ik niet gewoon interesse hebben voor bijvoorbeeld toekomstige projecten. Toch bedankt voor je post, maybe heb ik iets te chagrijnig gereageerd excuus hiervoor dan maar dat heeft zo zijn reden.
Greetz WeedSide
PS: Meer nuttige en handige tips blijven welkom.
Gesponsorde links
Je moet ingelogd zijn om een reactie te kunnen posten.
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
Gesponsorde links
excuus hiervoor dan maar dat heeft zo zijn reden.
Actiefste leden van de maand
