Sichere PHP-Authentifizierung-system

Dies wurde viele Male gefragt, aber keine Antworten sind befriedigend, ich schaute online für sichere tutorials, aber ich habe nicht gefunden, etwas, das gut genug ist, würden Sie wollen, um in einer wichtigen Webseite. Es scheint nur, wie es gibt so viele Möglichkeiten, um rund um die Sicherheit.

Kennt jemand ein GUTES? Was tun Sie Jungs tun, wenn Sie eine website erstellen, die braucht so etwas?

  • Es gibt eine Menge (viele open-source -) guten draußen. Sie sagen, Sie haben nicht gefunden ein "gut genug". Würde es helfen, wenn Sie Ihre Anforderungen definiert, die vor der Frage, was ist die bessere. Also, was sind Ihre Anforderungen für das system? Denken Sie daran, keine Sprache oder system wird jemals befreien Sie von der Last der Klärung Ihrer Vorstellungen (von xkcd.com/568)...
  • Im Grunde etwas, das Sie verwenden würden, in einem Ort speichern wichtige Informationen wie Kreditkarten-und solche, wo Sie nicht wirklich leisten, eine Pause an.
  • Das ist immer noch nicht eine Reihe von Anforderungen. Sie müssen herausfinden, was Sie brauchen, die Authentifizierung zu tun und suchen dann den auth-Systeme, die es tun. Ich gehe davon aus, dass die Website unter SSL die ganze Zeit (da wie du sagst, es ist für "wichtige Informationen")... Wenn das der Fall ist, ein Beispiel für eine Anforderung wäre, die Nutzung sowohl der HTTP_ONLY und SSL-cookie-flags für alle cookie-Einstellung...
InformationsquelleAutor Mankind1023 | 2010-06-17
  1. 3

    Mit Sicherheit, der beste plan ist, um es nicht selbst; überlassen Sie es den Experten... und ich bin jemand mit einem schweren Fall von "Nicht Gebaut" - Syndrom.

    Wenn Sie wollen lernen Sicherheit, es selbst schreiben, aber verwenden Sie es nicht in einer prod Umgebung.

    Wenn Sie brauchen, um zu lernen, Sicherheit, schlage ich vor, zumindest das Lesen Sie sind Wahrscheinlich die Speicherung der Passwörter Falsch auf Coding Horror und Lesen Essential PHP Security.

    Wenn Sie müssen Sicherheit in eine prod-Umgebung, erhalten Sie eine Bibliothek aus einer vertrauenswürdigen, professionellen Quelle, und verwenden Sie es. Ich schlage vor,OpenID.

    • Ja, ich muss lernen, Sicherheit, ich habe in der Suche auf tutorials, verschiedenen Angriffs-Typen, wie Sie zu verhindern, etc. aber nicht wissen, wohin Sie gehen von hier aus.
    InformationsquelleAutor Richard JP Le Guen
  2. 1

    Erhalten Sie Allgemeine, aber nützliche info hier - Der Definitive Leitfaden Für Website-Authentifizierung (beta).

    InformationsquelleAutor Bakhtiyor
  3. 0

    Download open-source-frameworks oder CMS, Tauchen Sie ein in den code und sehen, wie es gemacht wird 🙂
    Beispiel: Drupal !

    • Nicht viele open-source-frameworks oder CMS geschrieben, mit Sicherheit als einen primären Fokus.
    • Plus Sie sind open source, jeder kann schauen, um zu sehen, wie die Dinge funktionieren! Sie sind gut für sehr einfache Seiten, die einem angemeldeten Benutzer kann nicht wirklich tun zu viel Schaden, obwohl.
    • Nein, sir. Drupal zum Beispiel hat ein ganzes team, das ist nur besorgt über die Sicherheit in dem Projekt drupal.org/security Auf dem anderen hand, denn es ist open source und jeder kann einen Blick auf die Quelle (nicht nur den schwarzen hüten) Schwachstellen sind leichter zu erkennen und zu korrigieren 🙂
    • dunkel ist die ärmste form der Sicherheit: en.wikipedia.org/wiki/Kerckhoffs%27_principle
    InformationsquelleAutor redben
  4. 0

    Verwende ich eine Erlaubnis-basierte system, wo jeder Benutzer gehört zu einer Gruppe und jede Gruppe hat eine Reihe von Berechtigungen, die in jeder form verwende ich eine nonce Feld um zu verhindern, dass 'zufällige' bezwingend, wenn es wirklich wichtig ich überprüfen, Benutzer-Passwörter mit crypt und nicht die schwachen.

    BEARBEITEN. Sie können auch E-Mail-Prüfung für wirklich wichtige Befehle.

    InformationsquelleAutor Javier Parra
Schreibe einen Kommentar