login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Waterdicht systeem (hack proof)

Offline WeedSide - 09/12/2010 20:11 (laatste wijziging 09/12/2010 20:12)
Avatar van WeedSideNieuw lid Beste masters,

Kan iemand me misschien een zeer goed beveiligd account systeem aanbevelen? Waar ik dus met een gerust hart zeer vertrouwelijke informatie kan opslaan. Liefst een open source.. maar heb gehoord dat die minder hack proof zijn?

Bvd, greetz WeedSide 

18 antwoorden

Gesponsorde links
Offline Koen - 09/12/2010 20:12
Avatar van Koen PHP expert Dat bestaat niet. 
Offline WeedSide - 09/12/2010 20:14
Avatar van WeedSide Nieuw lid
WeedSide schreef:
zeer goed beveiligd

Waterdicht bestaat inderdaad niet denk niet dat een server slokje h2o wil nee. 
Offline Sam - 09/12/2010 20:16
Avatar van Sam PHP expert Open source betekent dat iedereen de source kan downloaden en inkijken, dus ook kwaadwillenden. Nogal logisch dat beveiligingslekken in deze systemen sneller gevonden worden. En inderdaad: een waterdicht systeem bestaat gewoonweg niet.  
Offline Aar - 09/12/2010 20:16
Avatar van Aar PHP interesse Een goede stap is om een SSL-certificaat aan te schaffen, en het inloggen via een beveiligde verbinding te laten verlopen.
Bedankt door: WeedSide
Offline WeedSide - 10/12/2010 13:33
Avatar van WeedSide Nieuw lid Bump nog iemand met ideeën  
Offline Stijn - 10/12/2010 13:38
Avatar van Stijn PHP expert
Citaat:
Liefst een open source.. maar heb gehoord dat die minder hack proof zijn?
En wanneer gaan we minder bekrompen denken? Opensource betekent inderdaad dat iedereen eraan kan maar dat betekent ook dat bugs sneller gevonden worden want er kijken immers duizenden mensen naar je code terwijl intern in een bedrijf dat gebeurt door 10 developpers.

Je kan misschien ook OpenID gebruiken als login voor je website?
Bedankt door: WeedSide
Offline DenMette - 10/12/2010 13:41
Avatar van DenMette PHP gevorderde Volgens mij ben jij een beetje een leek in Informatica, dat is niet kwaad bedoeld, maar het is wel degelijk zo.

Een volledig beveiligd programma / website is nog steeds niet waterdicht.

Zoals een van mijn voorgangers vertelde is een SSL verbinding als een super idee.

Gewoon eens wat googlen hoe je dat aan de praat kan krijgen, en vervolgens kan je ook nog een beetje opzoeken wat de mogelijke zonden zijn van software ontwikkeling. Als je dat allemaal eens hebt bekeken, weetje meteen waarom, hoe je te werk moet gaan.

Een product aankopen en dat aanpassen zal beter gaan.

Mvg
Bedankt door: WeedSide
Offline Aar - 10/12/2010 14:50
Avatar van Aar PHP interesse Nog wat goede tips:
- Ga niet bij 'verkeerde inlog'-problemen aankondigen OF de gebruikersnaam OF het wachtwoord niet goed is, maar zeg gewoon dat "het inloggen niet lukte omdat een of beiden niet goed ingevuld zijn".

- Sla passwoorden op in SHA1() of MD5)(, maar gebruik wel een salt die je bij je eigen houdt. je zou de eerste xx aantal tekens van de username kunnen nemen om het heel lastig te maken voor hackers mochten ze je encoded paswoorden hebben, en ze die willen decoden met woordboeken...

- Na 3x een foute inlogpoging blokkeer je het account voor een bepaalde tijd.
Offline MrWolf - 11/12/2010 15:09 (laatste wijziging 11/12/2010 15:11)
Avatar van MrWolf Lid
Aar schreef:
- Na 3x een foute inlogpoging blokkeer je het account voor een bepaalde tijd.

Bedoel je met cookies? want die kan je makkelijk als hacker weer weggooien... Als je in de database opslaat dat Pietje Puk even niet mag inloggen, dan kan iemand ook (als hij weet dan Pietje Puk wil inloggen) expres het 3 keer verkeerd invullen, om Pietje Puk te pesten, zodat Pietje Puk niet in kan loggen.
Offline Aar - 11/12/2010 16:09 (laatste wijziging 11/12/2010 16:10)
Avatar van Aar PHP interesse Nee, natuurlijk niet. Lekker in de database opslaan natuurlijk.

Je kan er ook een tijd aan hangen natuurlijk. Dat het account voor 10 minuten geblokkeerd is. Je moet natuurlijk niet aan de grote klok gaan hangen dat je zo'n drempel op je site hebt.
Bedankt door: WeedSide
Offline UpLink - 11/12/2010 19:53
Avatar van UpLink ... vertrouwelijke info online gooien is op zich al niet zo'n goed idee...

En wil je een hack proof systeem?

Draai alles localhost, trek je internet uit je PC, stroom uittrekken en zet je PC in een kluis...
Niemand die eraan geraakt en geen enkele hacker zal je gegevens kunnen stelen...

Theoretisch gezien natuurlijk...
Offline pijke - 12/12/2010 09:22 (laatste wijziging 12/12/2010 09:35)
Avatar van pijke Gouden medaille

Lid
UpLink schreef:
vertrouwelijke info online gooien is op zich al niet zo'n goed idee...

En wil je een hack proof systeem?

Draai alles localhost, trek je internet uit je PC, stroom uittrekken en zet je PC in een kluis...
Niemand die eraan geraakt en geen enkele hacker zal je gegevens kunnen stelen...

Theoretisch gezien natuurlijk...
nee, hier heeft de poster wat aan.

edit:
om zelf nog enige inbreng te hebben:
zoek eens op www.sourceforge.net op php membersystem.
ik weet zeker dat je er daar een paar goede tussen vind.
Bedankt door: WeedSide
Offline WeedSide - 12/12/2010 09:43
Avatar van WeedSide Nieuw lid Inderdaad weer een typische sitemasters opmerking van UpLink maar goed. Het is me duidelijk dat er niets 100% beveiligd kan worden, sterker nog heb een opleiding beveiliging gedaan dus weet hier alles van. Oke ik heb misschien een verkeerde titel gekozen maar het komt er gewoon op neer of iemand een moeilijk te hacken systeem weet. Moet toch redelijk veilig kunnen lijkt me anders zou er geen internet bankieren en dergelijke bestaan. ;) @pijke maar welke is dan het beste is mijn vraag, een systeem vinden kan ik ook wel maar een veilig systeem weet ik niet waar ik op moet letten. Dank voor de behulpzame reacties alvast allemaal 

Greetz WeedSide 
Offline pijke - 12/12/2010 10:13
Avatar van pijke Gouden medaille

Lid
kijk of alle input geëscaped wordt.
kijk of wachtwoorden gehashed opgeslagen worden in de database.
dan ben je al een heel eind.
verder, probeer het zelf eens te hacken.
als je binnen kunt komen, weggooien of gat dichten.
Offline Flex1986 - 12/12/2010 10:47 (laatste wijziging 12/12/2010 10:49)
Avatar van Flex1986 Gouden medaille

Senior Member
Sorry, maar je hebt een opleiding beveiliging gevolgd zeg je? Hoezo weet je dan niet waar je op moet letten bij beveiliging? Kun je de naam van je opleiding geven dan weten mensen waar ze niet heen moeten  

Zoals eerder in deze thread al aangegeven door Aar zijn er een aantal factors voor beveiliging genoemd. Als je deze in je zoekactie opneemt dan kan je inlogscripts vergelijken door naar deze criteria te kijken. Ik zelf gebuik ook deze criteria voor mijn login systemen. Doe dit over een beveiligde verbinding en je bent al een stuk "veiliger" bezig.

Mocht je niks zelf willen programeren dan kan je ook kijken naar OpenID of natuurlijk naar verschillende OAuth providers. Bij OAuth zou ik zelf gebruik maken van de wat grotere namen zoals Twitter, Facebook, Google aangezien veel gebruikers hier al accounts hebben.

Ik wens je succes in je zoekactie, maar kant en klare scripts zul je hier niet snel krijgen. Mensen die serieus aan beveiliging denken maken het of zelf of gebruiken er eentje die bij het framework van keuze past.

ps, bijna alle bovenstaande informatie was allemaal al te vinden in je thread!
Offline WeedSide - 12/12/2010 19:14 (laatste wijziging 13/12/2010 10:38)
Avatar van WeedSide Nieuw lid
Flex1986 schreef:
Sorry, maar je hebt een opleiding beveiliging gevolgd zeg je? Hoezo weet je dan niet waar je op moet letten bij beveiliging? Kun je de naam van je opleiding geven dan weten mensen waar ze niet heen moeten  

Weer een typische sitemasters opmerking van iemand met het IQ van een gebraden visstick!
Koen schreef:
Het is wel aan die persoon met het IQ van de gebraden fishstick dat je je vraag stelt, dus let een beetje op je woorden.

Dat is een object/openbaar beveiligers opleiding geen informatica.  
Offline Flex1986 - 12/12/2010 20:24
Avatar van Flex1986 Gouden medaille

Senior Member
Ik vraag me toch af wat het verschil is tussen het IQ van een visstick of een gebraden visstick ;)

Het is jammer dat je zo reageert, puur om het feit dat mijn aanname dat je een IT gerelateerde opleiding hebt genoten niet zo vreemd is op een IT forum.

Ik zou zeggen doe je best met de informatie die je hebt er je bent namelijk al meerdere malen in de juiste richting gewezen. Maar je doet er niks mee sterker nog het lijkt erop dat je zit te wachten totdat iemand voor je gaat zoeken naar het meest geniale systeem. Ik ben bang dat je dan lang kan gaan wachten die bestaat namelijk niet. Niet om de eerdere genoemde feiten dat niks 100% beveiligd kan worden. Maar om het feit dat elk login systeem aan andere eisen moet voldoen denk bijvoorbeeld aan rechten management.

Deze visstick heeft nog even een google zoekactie voor je gedaan, Creating good website: security met de omschrijving Security Issues Websites

Good luck
Bedankt door: Stijn, WeedSide
Offline WeedSide - 14/12/2010 19:37
Avatar van WeedSide Nieuw lid Het feit dat ik deze vraag stel geeft aan dat ik geen IT beveiliging heb gedaan, anders zou ik deze vraag niet hoeven te stellen. Inderdaad ik heb er nog niets mee gedaan, moet dat dan perse mag ik niet gewoon interesse hebben voor bijvoorbeeld toekomstige projecten. Toch bedankt voor je post, maybe heb ik iets te chagrijnig gereageerd excuus hiervoor dan maar dat heeft zo zijn reden.

Greetz WeedSide 

PS: Meer nuttige en handige tips blijven welkom.
Gesponsorde links
Je moet ingelogd zijn om een reactie te kunnen posten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.191s