sikkerhed og sessions og login

spændende spørgsmål. jeg lytter lige med

Hvis du mener det er for let at erhverve sig adgang til andres session, ja så har du gjort det lidt mere bøvlet for forbryderen og så alligevel ikke. Hvis de kan opsnappe din session hvor du gemmer brugernavn og md5(pass) kan de også opsnappe din midlertidig random md5 brugerid. At forfalske brugernanv og ipadresse er intet problem heller. Og så snart de har fat i din session kan de blive ved med at holde den i live.

Sandheden er i virkeligheden at den her slags kommunikation/sikkerhed (som du brskriver) er meget sårbar og kan med relativ lethed brydes. Problemet lægger i at du kommunikere over et public media hvor ALLE kan lytte med og da standart html data bliver sendt som plain text kan du som ordet siger, læse det direkte.
Så for at gøre det mere sikkert skal du have krypteret din data mellem brugeren og webserveren hvilket oftes gøres med public/private key kryptering.
Skal endnu et level up hedder det certificates og endnu et level op introduseres smart keys.
Men nu er vi altså også oppe i et seriøst sikkerheds niveau. Det næste skridt for dig ville jeg mene er kryptering af din data over internettet så det ikke kan læses af andre.

ok interessant..jeg vil læse lidt om kryptering. Hvis du har et link er det fint.

I den metode jeg beskriver kan brugeren jo kun bruge session hvis han har samme ip-addresse og kun indtil sessionen udløber hvad den gør efter fx 1 dag.

..hvis hackeren får fat i login informationer på den side hvor brugeren logger in er der godt nok et problem. Så vil han kunne logge in på legitim vis og for oprettet en session med sin egen ip addresese. ....Er det det vi vil undgå med kryptering?

har søgt på "public/private key kryptering"
men der kommer ikke rigtigt noget brugbart frem

Hvis du har et hint til hvad jeg skal lede efter ville det være fint.

Skal det krypteres med javascript på brugerens side eller hvordan?

"den metode jeg beskriver kan brugeren jo kun bruge session hvis han har samme ip-addresse og kun indtil sessionen udløber hvad den gør efter fx 1 dag."
1) IP adresser er meget simpelt at forfalske. Det er plain tekst som findes i headeren. Alle og en hver kan ændre og skrive hvad de vil i headeren.
2) Sessions lever i x tid efter sidst set. Lad x=10 min. Hvert 9. min updatere jeg siden og dermed også min session. Derved kan jeg bruge den til evigtid bare jeg husker at updateren den inden for 10 min.

"..hvis hackeren får fat i login informationer på den side hvor brugeren logger in er der godt nok et problem. Så vil han kunne logge in på legitim vis og for oprettet en session med sin egen ip addresese. ....Er det det vi vil undgå med kryptering?"

Krypteringen er til for at ungå, at andre for fat i vores brugerid/pass. Er ens brugerid/pass en gang kompromitteret er skaden sket og du skal have et nyt.

Jeg har desværre ikke lige noget link til dig da jeg benytter en bog men du kan jo prøve at google "secure html".

hviket sprog bruges til at kryptere? er det javascript?  ..der skal vel gøre på brugersiden før det sendes ud på webben?

Jeg har kun prøvet at implementere kryptering i java og c# så jeg kan ikke umiddelbart fortælle dig hvordan du bære dig ad i html. Men ved at SSH er meget brugt og lur mig ikke om php ikke også understøtter det.

ok..
Men jeg er egentlig interesseret i hvordan man inden for rammerne af hvad php kan gør det bedst muligt. Er der nogen der har et forslag til det?

Prøv at søg på shttp
ved ikke alverden om det men mener at shttp krypter data

Sorry det var
https

http://en.wikipedia.org/wiki/Computer_security
http://en.wikipedia.org/wiki/Https

http://se.php.net/manual/da/ref.ssh2.php

Lukker