Moro,
Osaisiko joku vastata, mitä tietoturva asioita PHP:llä toteutetulla web-sivustolla pitäisi ottaa huomioon? Onko järkevää käyttää esimerkiksi admin-puolen autetikointiin evästeitä, vai pitäisikö olla jokin parempi tapa? Entä kannattaako/pitäisikö admin-puolen tietoliikenne salata jotenkin? Miten?
Wiltson kirjoitti:
Moro,
Osaisiko joku vastata, mitä tietoturva asioita PHP:llä toteutetulla web-sivustolla pitäisi ottaa huomioon?
Tarkistat syötetyt arvot etkä vain sokeasti luota että jos keksissä on tunnuksena "adimn"
Wiltson kirjoitti:
Onko järkevää käyttää esimerkiksi admin-puolen autetikointiin evästeitä, vai pitäisikö olla jokin parempi tapa?
evästeet tai sessionit, tarkistat ettei ip ole muuttunut ja että tunnus ja salasana on oikein mieluten salasana md5hashina
tietenkin voit käyttää .htaccess suojausta
Wiltson kirjoitti:
Entä kannattaako/pitäisikö admin-puolen tietoliikenne salata jotenkin? Miten?
Jos vain mahdollista niin voit käyttää SSL protokollaa ilmaiseksi tuskin mistään saa
Mod. edit: korjasin tagit
Keksi myös ylläpitosivulle sen verran vaikea osoite, että kukaan ulkopuolinen ei päädy sille vahingossakaan.
Tai sitten Cpanel. Tosin taitaa olla maksullinen.
ZcMander kirjoitti:
Tai sitten Cpanel. Tosin taitaa olla maksullinen.
Ööö? Miten Cpanel liittyy tähän mitenkään? Sehän on webhotellin hallintasofta.
Eli eväste tunnistamisen saa unohtaa. Täytyypä peryhtyä tuohon SSL-protokollaan. Tosin siitä jo jonkin verran kokemusta.
Ymmärränkö oikein jos ajattelen että SSL-muodostaa palvelimelle putken jota pitkin tieto siirretään? Eli ei pysty verkon yli kuuntelemaan?
Mielestäni evästeet kelpaavat ihan hyvin tuommoiseen. Tarkista vain ennen jokaista ylläpito-oikeuksia vaativaa muokkausta, että evästeessä olevat arvot täsmäävät oikean tunnuksen ja salasanan kanssa.
Aihe on jo aika vanha, joten et voi enää vastata siihen.