Googlettamalla ja Putkan hakua käyttämällä tästä aiheesta näyttää olevan monta mielipidettä.
Minulla on sivusto jossa simppeli sivunhallintapaneli. Paneli on periaatteessa erillinen palvelu, joka kuitenkin käyttää pääsivuston kanssa samaa tietokantaa. Palvelua voi käyttää muutama ylläpitäjä ja sen suojaukseen olen käyttänyt htaccess-tiedostoon perustuvaa tunnistusta.
Kysymys kuuluukin, olenko ihan vitun idiootti?
Valitsin tämän suojausmentelmän koska se suojaa kaikkia kansiossa olevia tiedostoja, mahdollistaa yksinkertaisen ja varman käyttäjätietojen ylläpidon(käyttäjiä noin kymmenen). Lisäksi hallintapanelissa ei ole tarvetta yksilöidä käyttäjiä vaan mielummin estää ylimääräisten pääsy. Koen sessioneihin perustuvan suojauksen huonoksi puoleksi nimen omaan helpommin murrettavan käyttäjätunnustiedoston ja php-injektoinnin.
Sinänsä en erityisemmin pelkää koska mielestäni pitää olla aika säälittävä luuseri jos haluaa tätä kyseistä sivustoa sabotoida(kyseessä yleishyödyllinen yhdistys)
Luin jostakin, että HTTP-auktorisoinnissa salasana kulkee "selkokielisenä" jokaisella ladatulla sivulla ja sitä voisi joku hakkeri niin-kuin salakuunnella. Kulkeeko se muka oikeasti, vaikka salasana on käyttäjätietotiedostossa kryptattuna?
Ämppi kirjoitti:
Koen sessioneihin perustuvan suojauksen huonoksi puoleksi nimen omaan helpommin murrettavan käyttäjätunnustiedoston ja php-injektoinnin.
No nuohan on kiinni tietysti siitä, miten hyvin se systeemi on koodattu. Eli jos ei itse osaa kovin hyvin koodata, niin valmiin ratkaisu (esim. apachen htaccess) käyttäminen on varmaankin järkevää. Sinänsä kuitenkin helposti murrettava käyttäjätiedosto ja php-injektointi ei ole sessiopohjaisen tunnistautumisen "pakollisia" ominaisuuksia.
Ämppi kirjoitti:
Luin jostakin, että HTTP-auktorisoinnissa salasana kulkee "selkokielisenä" jokaisella ladatulla sivulla ja sitä voisi joku hakkeri niin-kuin salakuunnella. Kulkeeko se muka oikeasti, vaikka salasana on käyttäjätietotiedostossa kryptattuna?
Jos käytät Basic Authentication menetelmää (salasanat tehdään htpasswd komennolla) ja sivusi ei ole salattu (https:// ...) niin silloin kyllä, salasana kulkee selväkielisenä joka sivupyynnössä. Jos taas käytät Digest Authentication menetelmään (salasanat tehdään htdigest komennolla) ja/tai sivusi on salattu, niin silloin ei.
Toisaalta jos käytät istuntosysteemiä ja kirjautumislomaketta, niin kulkeehan se salasana silloinkin tyypillisesti selväkielisenä jos salaus ei ole käytössä.
Itse pyrin käyttämään tuota digest-autentikaatiota sivuilla, joissa ei ole salausta. Useimmat sivut joita ylläpidän on tosin salattuja.
Grez kirjoitti:
Jos käytät Basic Authentication menetelmää (salasanat tehdään htpasswd komennolla) ja sivusi ei ole salattu (https:// ...) niin silloin kyllä, salasana kulkee selväkielisenä joka sivupyynnössä.
Eikös htpasswd oletuksena kuitenkin hashaa salasanaa.?
Nyt oli kyse siitä, missä muodossa salasana lähetetään verkossa (palvelimen ja käyttäjän välillä), eikä siitä missä muodossa se salasana on palvelimen kiintolevyllä.
Tarkalleen ottaen se menee tällaisessa muodossa: cWVpam86c2FsYXNhbmE= eli äkkiseltään joku voisi väittää että "eihän se mene selväkielisenä". Tuo ei kuitenkaan ole salattu vaan vain base64-koodattu ja about kaikki verkkosnifferit näyttää automaagisesti tuon koodaamattomana.
Aihe on jo aika vanha, joten et voi enää vastata siihen.