Jak trochę lepiej zabezpieczyć hasło i ogólnie całą aplikację?

Question

Wrzucam Wam link do postawionego na testowym hostingu projektu: http://krecik.16mb.com/

Jest on zrobiony w proceduralnym PHP, to co jest w środku to czysty HTML więc o wygląd się nie czepiać. Chodzi mi o bezpieczeństwo. Jak narazie na stronę łatwo można wejść, jest ustawione proste hasło bez żadnych zabezpieczeń spróbujcie złamać metodą słownikową. Pomóżcie mi zabezpieczyć trochę lepiej tę stronę, od razu mówię że sesji też nie umiem zabezpieczyć.

Answer 1

Pętla na cURL w konsoli w linuksie i można jechać na wakacje ;) Problem w tym, że nie znamy także loginu, więc czas się diametralnie wydłuży. Ale żadnego zabezpieczenia nie ma, więc to kwestia czasu.

Co do sesji: jeśli Hostinger stawia wszystko na współdzielonych to jest szansa po prostu przejąć sesję z innej strony postawionej na tym samym serwie. Wystarczy id sesji, stąd proponuję wykorzystywać funkcję session_regenerate_id.

Wypada także zabezpieczyć same cookie (flaga http_only jest obowiązkowa, flaga secure zalecana). Ogólnie o sesji polecam poczytać tutaj: http://www.forumweb.pl/php/sesje-w-przegladarce-miedzy-serwerami,62090

Co do zabezpieczenia przed słownikowymi atakami: blokada logowania na konto po x nieudanych próbach? + można blokować czasowo

Comments

A propos hostingera, strona docelowo nie będzie tam stała . Jakbyś mógł coś powiedzieć konkretnie na temat biznes-host.pl, bo to raczej będzie docelowy hosting dla tej stronki. 

---

Co powiem? Tyle, że postawiłem tam stronę 3 lata temu i nie ma problemów :D Supportu nie znam, bo nie musiałem się nigdy kontaktować ;)

---

Czytałem opinie o tym hostingu, od 3 lat sporo tam się mogło zmienić aczkolwiek zaryzykuję. Na pewno nie ma takiego z którym nigdy nie będzie problemów.

---

Najlepiej napisać zabezpieczenie typu antyflood na combo: baza danych po ip/sesja/cookie. Wkrótce może przysiądę i napiszę funkcję, która to realizuje.

Ew. zawsze można dać sleep() przy logowaniu. 2 sekundy sleepa zabije każdą metodę słownikową, a nie wpłynie na user-experience. Ale rozwiązanie wymyślone na poczekaniu, nie mam pojęcia, jak się sprawdza w praktyce.

Answer 2

Nikt się nie będzie bawił w metody słownikowe, szuka się innych dziur, sqli, xss itd.

Comments

Jest tylko jeden user. Nie ma przy logowaniu połączeniu z bazą danych więc cokolwiek z sql od razu odpada :P

---

To logowanie jest z pliku?

---

Tak, no a po co angażować w to SQL jak bazę będzie obsługiwała tylko jedna osoba.

---

I pewnie hasło plaintextem?

---

Tak, no i właśnie chciałbym zapytać czy jest sens jakoś to szyfrować/haszować. Nigdy tego nie robiłem (0 projekt).

---

Oczywiście, że jest. Przepuść to przez password_hash i tyle. Włam na serwer jest zawsze możliwy - jak se nie zahashujesz, to ktoś bez żadnego wysiłku dostanie hasło admina.

Answer 3

Strona poszła...

Czego może być przyczyną?

Comments

Strona poszła? Cały czas stoi, przynajmniej u mnie.

---

No to mnie chyba zablokowali za.....nie wiem co dokładniej.

Albo coś poszło.

PS: strona jest zabezpieczone przeciw wstrzykiwaniu SQL?

---

Raczej tak. Samo logowanie zrobione na zahaszowanym pliku, więc włamywacz nie posłuży się SQL Injection. Będzie musiał użyć bardziej wyrafinowanych, aczkolwiek też prostych metod. Oprócz tego wnętrze strony zabezpieczyłem przed nieświadomym SQLinj ze strony użytkownika, np. wpisanie ' czy -- w treść zapytania.