[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [PROGRAMMERING] PHP: Gemme password på en forsvarlig måde.


3) Gemme brugernavn og MD5-hashed password i MySQL-tabel med et ekstra
felt til et mysql-password. Gemme brugernavn og mysql-password i
cookie (Fordele: Ingen relevant info whatsåever på brugerens maskine,
men det ligger desværre stadig i db på serveren. Hvad skal skal
hash-strengen være)?



Det er nok mig der er dum, men gider du ikke lige udspecificerer hele
din loginprocedure? Det lyder som om at du både validerer mod en
ldap-server og får et databasekodeord af brugeren?



Jeg har egenligt lavet systemet til både at kunne validere mod en lokal MySQL og mod en LDAP. Hvis der anvendes LDAP bliver brugeren valideret op mod LDAP'en og hvis de bliver godkendt, bliver brugernavn og lidt ekstra oplysninger også gemt i MySQL'en (men pt. ingen password), så jeg senere kan anvende samme interface uanset om jeg kører LDAP eller MySQL-authentificering. Derfor vil det ikke være så stort et problem hvis der skulle tilføjes et ekstra felt i MySQL'en.

Til autologin ville jeg absolut gemme brugerens rigtige
'credentials'[0] og så lave nogle adhoc-credentials, det kunne
foreksempel være et tidsstempel, IP-adressen samt en hash af noget
tilfældigt data (processnummer, størelsen af en logfil, antallet af
bytes sendt på eth0 og en byte fra /dev/random).

Det kræver selvfølgelig at du gemmer brugerens rigtige credientials,
men hvis din databaseserver bliver kompromiteret er du alligevel på
røven.


Ja, både og - for serveren er en ren web-server, så hvis den bliver kompromitteret, går det højst ud over en hjemmeside. LDAP serveren er ekstern og det er de samme credentials der også bruges til mail, så derfor er jeg lidt tilbageholdende med at gemme passwordene på webserveren også.


Mvh

Lars


--
------------------------------------------------------------------------

Lars Riisgaard Ribe

MSc, PhD-stud.

Telephone



+45 89 49 52 68

Fax 	+45 89 49 60 04
Email 	sslug@sslug <mailto:sslug@sslug>
Address 	MR-Center - Aarhus University Hospital
Skejby Sygehus
Brendstrupgaardsvej
Dk-8200 Aarhus N
Denmark

------------------------------------------------------------------------

 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 22:44 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *