Opbevaring af passwords under session

Er passwords ikke allerede gemt som hash (evt. salted) strenge i databasen? I så fald, er det intet problem at gemme dem i din session. Ellers se evt. http://stackoverflow.com/questions/401656/secure-hash-and-salt-for-php-passwords

Faktisk et interessant problem.

Lidt blandede ideer:
A) login ind paa FTP server naar bruger gaar paa siden, holds connection til FTP server aaben og gem ikke password
B) brug session uden kryptering udfra en betragtning om at session storage vel er lige saa sikker som PHP siden (hvis nogen har adgang til session storage har de sikkert ogsaa adgang til at rette PHP koden til at gemme en kopi af password)
C) gem oplysningen i en client side session cookie
D) gem i session og brug staerk kryptering - det koster ikke noget at AES kryptere & dekryptere - problemet er her hvor skal key gemmes:
D1) hardcoded i PHP
D2) i client side session cookie
D3) permanent kendt info som f.eks. brugernavn
D4) midlertidigt kendt info som f.eks. client IP adresse

Jeg kan ikke entydigt sig hvad der er bedst for dig.

re #1)

Man kan ikke bruge et hashet password til en remote FTP server.

Ja, det overså jeg godt nok. Men uanset om passwordet er krypteret eller ej, bør du have SSL forbindelse, for at gemme i session. Den dertil mere sikre side må være at gemme som cookie, så er det kun lokale sikkerhedshuller der kan være en evt. risiko.

Vil tillade mig at udelukke A), da det gerne må være generelt - Hvad nu hvis vi også vil tilføje mail til servicen som en slags online skrivebord?

C) Ville måske ikke være det smarteste hvis vi tilgik systemet fra en offentlig computer og folk ikke loggede af - Men eftersom dette mere er et tankeeksperiment, kunne det jo sagtens være en løsning alligevel.

I forhold til D), hvor store data-mængder snakker vi om skal til før det øger ventetiden? og mon ikke man kunne lave key som en kombination af dine Dx) varianter?

Bryder mig nu heller ikke så meget for ideen med at gemme passwords i cookies - så skal de jo netop vandre frem og tilbage mellem client og server for hver eneste indlæsning.

For en session cookie er det nok at lukke browseren ned.

Du skal op i megabytes foerend kryptering virkeligt vil kunne maerkes.

At sende en cookie med et enklt ord med hver request vil naeppe kunne maerkes paa performance.

re #4)

Ja - SSL er noedvendigt uanset hvad.

Er kommet frem til at krypterede cookies vel egentlig er det mest sikre, da der så ikke ligger passwords på serveren. Ved brug af sessions gemmes de jo i en fil og det samme hvis man gemmer dem i databasen.

Så langt så godt. En bruger vil indtaste oplysningerne til den ønskede fjernserver og disse vil blive gemt i en cookie. Men hvad så hvis jeg ønsker at gemme det til næste gang? Så er det bedste vel egentlig at gemme krypteret i databasen?

Jo.

Men hvad vil du bruge som key?

Tænker at man kunne lave det sådan at der genereres en unik nøgle pr bruger, men ved dog ikke om det er godt nok?

Det kan du sagtens.

Men er det mere sikkert at have en tabel med:
* krypteret password
* key til kryptering
end en tabel med:
* ikke krypteret password
?

Svar: lidt mere sikkert, men ikke meget mere sikkert !

Du har en pointe, men hvis man kombinerer det med en hardcoded key i selve filen, er det vel bedre?

Hvis man mener at det er vigtigt at beskytte sig mod situationen hvor the bad guys har adgang til databasen men ikke til applikationen: ja.

Takker mange gange for dine synspunkter arne_v. Det er altid rart at blive klogere ;)

Smid et svar hvis du ønsker point

svar