Sikkerhed i loginsystemer

Jeg ville mene at den mest sikre måde du kan lave et login system i PHP er via http-authentication, der kører via din apache server, ved ikke om det svarer på dit spørgsmål - men !!

Det er 'nogenlunde' nemt at opsnappe en internet pakke og kikke på den.

præcis hvor nemt afhænger af flere faktorer, fx:
hvilket medie der benyttes
    ledningen fra et akustisk modem kan aflyttes med en simpel drosselspole
    for at aflytte et fiberoptisk kabel skal du have dyrt specialgrej
hvilkn protokol der benyttes
    SSL er langt sværere at afkode end simple IP pakker.
    ATM kræver en lyttestation næsten ligeså komplex som routingstationerne til at holde de forskellige transmissioner ude fra hinanden, og vælge den samtale vi ønsker at lytte med på.
hvor du måler
    pakker er ikke bundet til at følge en bestemt rute, så hvis du ikke kan aflytte ved kommunikationens start- eller slut- punkt må du lytte samtidigt på alle de mulige ruter for at være sikke på at få alle pakker i kommunikationen med.

Det er ikke noget man 'bare lige' gør.

Læs om SSL for at få et indtryk af hvad den duer til, den har også sine styrker og svagheder.

Den væsentligste svaghed er nok den sædvanlige i computere at man kan 'gå udenom'. Hvor superduper krypteringen end er er det kun een af de adgangsdøre der skal bevogtes. Hvor nemt er det at installere en spion-virus på din server der tager de data *efter* serveren har dekrypteret dem?

mvh JakobA

http://wp.netscape.com/eng/ssl3/

ok, rart at høre det ikke er noget man bare lige gør :). Hvad med softwaremæssigt? Kan man eks. overvåge trafikken til/fra en bestemt ip sådan uden videre over internettet?
Jeg husker engang jeg brugte et tool på lokalnetværket da jeg skulle sætte filtre op på en router.

Som du også skriver mht. spion-virus er det et spørgsmål om det overhovedet er besværet værd at gøre noget ud over hvad php eller evt. apache kan klare - med mindre vi snakker homebanking eller lign.

Mht. Apache så tror jeg den er ligeså hullet som php vil være:
http://httpd.apache.org/docs/howto/auth.html

Basic Authentication - brugernavn og kodeord sendes ukrypteret over nettet for hver eneste side :(
Digest Authentication - Browseren sørger for at beskytte kodeordet vha. MD5, dog ikke understøttet af alle browsere.

Begge to kommer man lige så langt med som php, hvis man kan opsnappe informationen mellem client og server.
Måske kunne man få en lille grad af øget sikkerhed hvis man sendte et tilfældigt tal ud til klienten som sammen med kodeordet gik en tur igennem MD5, hvorefter det sendes tilbage til serveren. På den måde får man både en tidsbegrænset kode samt skjult kodeordet. Det vil så kræve Javascript på clientsiden eller lignende.
Ellers må man vel ty til SSL - men som Jakoba skriver, så er der altid en anden vej, så jeg tror nok mit behov bliver dækket af apache og php evt. med lidt javascript.
Jakoba sender du lige et svar så er der et par point... ;-)

En sysadmin på en arbejdsplads kan så let som ingenting kigge alle dine datapakker igennem og se hvad der kommer ind og ud! Og kan en sysadmin, så kan en hacker også :o)

hmm, kedeligt... der er ikke andet at gøre end håbe ens data ikke er interessante nok ;-)

lukker spm...

Hvis du vil se hvordan datapakkerne ser ud, så prøv med Ethereal, som kan fås på adressen: http://www.ethereal.com/

Jeg ved ikke om man kan bruge VPN til at holde nysgerrige snuder ude, når det drejer sig om hjemmesider, men ellers er det et udmærket program til at holde snushaner væk fra de data man sender til en server.

Held og lykke