Skocz do zawartości
Zaloguj się, aby obserwować  
PRE

Bezpieczenśtwo własnej aplikacji

Polecane posty

Zastanawiamsię nad bezpieczeństwem pewnej aplikacji PHP którą stworzyłem. Mimo iż na testach spędziłem kilka dni to gromadzone są w niej ważne dane więc postanowiłem dodatkow zabezpieczyć ją plikiem .htaccess (401). Zastanawiam się, czy takie zabezpieczenie jest do sforsowania. Sam serwer zabezpieczyłem podobnie jak radzicie w tym temacie. (Apache nie wysyła sygnatur, nie zwraca błędów 403, do SSH służy osobne IP) Pytanie tylko, czy 401 coś daje?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zastanawiamsię nad bezpieczeństwem pewnej aplikacji PHP którą stworzyłem. Mimo iż na testach spędziłem kilka dni to gromadzone są w niej ważne dane więc postanowiłem dodatkow zabezpieczyć ją plikiem .htaccess (401). Zastanawiam się, czy takie zabezpieczenie jest do sforsowania. Sam serwer zabezpieczyłem podobnie jak radzicie w tym temacie. (Apache nie wysyła sygnatur, nie zwraca błędów 403, do SSH służy osobne IP) Pytanie tylko, czy 401 coś daje?

 

Niewiele (żeby nie powiedzieć że nic nie daje), jeśli połączenie nie jest szyfrowane przez SSL.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zależy, jakie 401.

Jeśli poprzez auth_digest, to coś tam niecoś da i nawet wszelakie sniffery będą w miarę niegroźne.

A jeśli przez standardowe auth_basic, to otwierasz się wręcz na włamania z sieci wewnętrznej - byle jaki analizator ruchu sieciowego to hasło wypluje bez jakichkolwiek wysiłków.

 

( bo jeśli jest to formularz POST z hasłem, to trzeba się lekko wysilić, a w przypadku 401 wystarczy filtr w wiresharku, który to bezproblemowo takie logowania wyświetli ).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dokładnie to autentykacja 401 potrzebna jest żeby wyświetlic formularz logowania dostępny tylko i wyłącznie po SSLu. Z racji że czesc uzytkownikow korzysta z sieci wewnetrznej a ustawione mialem auth_basic, zrezygnowalem z niego. Sama aplikacja sadze nie jest podatna na SQL injection.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×