Eli tein tässä pikkusen foorumin, se on vielä vähän kehityksessä, että ominaisuuksia tulee lisää, mutta jos huomaatte jotain bugeja tai vastaavaa...
Ilman tietokantaa toteutettu txt filuilla, en sitten tiedä tuosta turvallisuudesta.
Kysyisin tässä että jos salasanat htaccessilla suojatussa kansiossa niin tarviiko niitä cryptata..?
Edit: Ne ei ainakaan kulje GETillä, missä ne näkyis, mutta voiko POSTista haksata ne kulkevat tiedot?
EI SIIS KANNATA KÄYTTÄÄ NYT REKISTERÖITYESSÄ SAMAA SALASANAA MITÄ KÄYTÄT MUUALLA!! Ne on tällähetkellä vaan htaccessilla suojatussa kansiossa, pitäs opetella joku mcrypt...
Edit: osote unohtu, elikä: http://markohosting.no-ip.info/simple/Simple-foorum2/
Ulkoasusta löytyy ainakin heti nipotettavaa: linkit _pitää_ olla erotettavissa muusta tekstistä. On kovin tuskallista viipeltää pitkinpoikin hiiren kera tutkimassa mikä osa tekstistä nyt olisikaan linkki. Lisäksi ulkoasu saisi olla skaalautuva.
Salasanat on hyvä kryptata md5-algoritmilla ja piilottaa vielä esimerkiksi htaccess-suojauksen taakse.
Joo salasanat tulee hashata, tosin md5 on useissa tapauksissa aivan turvaton (käyttäjät, kun laittavat tuollaisiin epämääräisiin palveluihin noita 'password' tai 'kissa' -salasanoja). Tuossa joku aika sitten satuin saamaan tuollaisen käyttäjätunnus|md5-salasana tiedoston osoitteen selville, eikä mennyt montaakaan minuuttia, kun adminin salasana oli murrettu :) Eli itse en ainakaan luottaisi pelkkään md5():n. Tässä Lebe80:n joskus antama hieman parempi salasanahash;
<?php
function Salaa($salattava){
$palauta = md5( "hieman" . md5( "parempi" . $salattava . "salaus") . "tekniikka" );
return $palauta;
}
?>Lisäksi salasanat tulee hashata jo pelkästään sen takia, ettei sivuston ylläpitäjä pääse lukemaan toisten salasanoja. Ja salasanatiedostot ehdottomasti vielä webbiselaimen saavuttamattomiin. Joko pois www-hakemistosta tai sitten vähintään tuo .htaccess.
ajv kirjoitti:
Joo salasanat tulee hashata, tosin md5 on useissa tapauksissa aivan turvaton (käyttäjät, kun laittavat tuollaisiin epämääräisiin palveluihin noita 'password' tai 'kissa' -salasanoja). Tuossa joku aika sitten satuin saamaan tuollaisen käyttäjätunnus|md5-salasana tiedoston osoitteen selville, eikä mennyt montaakaan minuuttia, kun adminin salasana oli murrettu :) Eli itse en ainakaan luottaisi pelkkään md5():n. Tässä Lebe80:n joskus antama hieman parempi salasanahash;
<?php function Salaa($salattava){ $palauta = md5( "hieman" . md5( "parempi" . $salattava . "salaus") . "tekniikka" ); return $palauta; } ?>Lisäksi salasanat tulee hashata jo pelkästään sen takia, ettei sivuston ylläpitäjä pääse lukemaan toisten salasanoja. Ja salasanatiedostot ehdottomasti vielä webbiselaimen saavuttamattomiin. Joko pois www-hakemistosta tai sitten vähintään tuo .htaccess.
No tuota... vaikea niitä laittaa muualle jos ei ole oma palvelin...ellei erikseen kysy asiaa
Matso kirjoitti:
No tuota... vaikea niitä laittaa muualle jos ei ole oma palvelin...ellei erikseen kysy asiaa
Kyllä mulla ainakin kaikissa mahdollisissa webbihotelleissa ja kotisivutiloissa kotihakemisto != www-hakemisto. Mutta jos ei, niin silloin .htaccess on oikea ratkaisu.
<?php
function Salaa($salattava){
$palauta = md5( "hieman" . md5( "parempi" . $salattava . "salaus") . "tekniikka" );
return $palauta;
}
?>Tuota... niin kun en oo näihin cryptaus juttuihin vielä tutustunu, nin kuinka siten voin testata täsmääkö salasana tuohon kryptattuun..?
Edit: Pitääkö se sis kokeilla silleen että jos käyttäjä syöttää kenttään jonku salasanan, niin kryptataan se tollee samal lail ja sitten kokeillaan täsmääkö se?.. noin ilmaisesti sitten.
>> Edit: Ne ei ainakaan kulje GETillä, missä ne näkyis, mutta
>> voiko POSTista haksata ne kulkevat tiedot?
HTTP-yhteys ei ole salattu, joten yhtä helppo ne on sieltä haksata oli pyyntö sitten GET tai POST.
Javascriptillä voi muodostaa esim. tuon md5-hashin jo selaimen puolella jolloin itse salasana ei joudu vääriin käsiin, mutta tokihan tuolla hashilla pystyy sitten kirjautumaan. Ja pitää tietysti ottaa huomioon käyttäjät jotka eivät salli javascript:ä.
Mielestäni kuitenkin riittää että salasanat kryptataan jollakin tavoin ja huolehditaan siitä ettei niitä pääse kuka tahansa lukemaan. Jos kovemman luokan suojauksia haetaan niin kannattaa hankkia salattu yhteys.
No nyt olen hieman parannuksia tehnyt, ensinnäkin linkkien väri on muutettu.
Mutat tärkeimpänä asiana laitoin kryptauksen salsanoihin.
Eli ne on nyt htaccess suojatussa kansiossa ja kryptattuna.
Lisäksi joitain pieniä kauneusseikkoja..
Osoteeseen pieni muutos: http://markohosting.no-ip.info/simple/Simple-foorum/
Mukavan simppelin näköinen.
Hyvinpä tuo näyttäisi toimivan. Kokeilin ihan ilman rekisteröitymistä.
Muotoilut toimi ok, ja tagit näemmä sulkeutuu automaattisesti.
Rekisteröidyin, mutten pääse kirjautumaan sisään, foorumi sanoo vain "Käyttäjä tunnus ja/tai salasana eivät täsmää."
Kantsinee ajaa syötetty tavara strip_tagsin läpi, nykyisellään tuon saa sotkittua melko kätevästi syöttämällä sille HTML:ää.
lainaus:
Rekisteröidyin, mutten pääse kirjautumaan sisään, foorumi sanoo vain "Käyttäjä tunnus ja/tai salasana eivät täsmää."
Hmm.. kyllä mäkin sinne rekisteröityä pystyin, ootko varma että syötit tunnuksen ja salasanan oikein
lainaus:
Kantsinee ajaa syötetty tavara strip_tagsin läpi, nykyisellään tuon saa sotkittua melko kätevästi syöttämällä sille HTML:ää.
mun mielest siin piti olla strip_tags käytössä.. jossain vikaa.
EDIT:
Siinä muten ON strip_tags käytössä!
Mutta ilmeisesti se ei suodata javascript tageja tai jotain, koska kyllä se tavalliset esim
<a hef="jotain">jotain</a>
suodattaa
Matso kirjoitti:
ootko varma että syötit tunnuksen ja salasanan oikein
Sataprosenttisen.
Joo, vikaa on. Olisin posti-iframen sijaan hyvin voinut laittaa jotain kääpiöhomopornoa ruudun täyteen.
Olga kirjoitti:
Joo, vikaa on. Olisin posti-iframen sijaan hyvin voinut laittaa jotain kääpiöhomopornoa ruudun täyteen.
Onko strip_tags funktiossa sitten jotain vikaa, kyllä se esim html linkit estää
Kummallista, omalla konella kun kokeilen niin tuo sisään kirjaus pitäis toimia, mutta tonne kun laitan nettiin niin ei.
Mahtaako palvelimella olla vanhempi php versio jonka takia jotain eroja toimivuudessa?
Älkää menkö nyt sinne, vähän probleemia...
Kokeile näin:
<?php /*muuttujia jne. */ $viesti = str_replace("<", " ", $viesti); /*kirjotetaan viesti kantaan*/ ?>
EDIT: Unohtu "," tosta pätkästä..
Ite olen ainakin tupannut ajamaan nuo viestit htmlentities()-funktion läpi. Saapahan kirjotettua foorumille myös html:ää ilman että se sotkee mitään.
htmlentities on tosiaan ainut kunnollinen ratkaisu, eli kannattaa käyttää sitä. Silloin muuttuvat kirjoitetut html-tagit näkyvään ja luettavaan muotoon.
Nonii, nyt pitäs taas toimia, ja html tagit karsitaan.
lainaus:
htmlentities on tosiaan ainut kunnollinen ratkaisu, eli kannattaa käyttää sitä. Silloin muuttuvat kirjoitetut html-tagit näkyvään ja luettavaan muotoon.
Tota html titles jutskaa voi käyttää sitten esim siinä kun/jos teen siihe jossain vaiheessa jonkun
tagi jutskan, että siinä näkyy ne koodit sitten.
[lainaus]
[koodi PHP]
<?php
/*muuttujia jne. */
$viesti = str_replace("<", " ", $viesti);
/*kirjotetaan viesti kantaan*/
?>[/lainaus]
Siinä olikin sellanen vika että olin alitanu:
strip_tags($viesti);
ni korjasin sen tällee:
$viesti2 = strip_tags($viesti);
Jep, noin se kuuluu olla :)
Aihe on jo aika vanha, joten et voi enää vastata siihen.