Autor Zpráva
Daniel01
Profil
Zdravím,
chtěl bych trochu probrat bezpečnost webu.
Co je v dnešní době 100% bezpečné? Nic.. tak pojďme hledat způsob aspoň nějakého zapezpečení...

Když to vemem od začátku, od stardantního vstupu (klávesnice) do vnitřku počítače - nulová zapezpečení! Stačí obyčejný key loger + screen loger a je to všechno v háji... :-)

Možná je to utopie... Ale co když si vyrobím velice jednoduchý "browser" který naváže spojení takže DNS atd... a rozesílal by falešné POST a COOKIES a všechno možné, do čehož normální uživatel nemá přístup?

Další hodně dlouhá cesta je od uživatele do servru... Tam už je to trochu lepší. SSL jen tak někdo nepřelouská :-) A když jedem na klasický http a šifrujeme cookies, tak "men in the midle" moc dobře neobstojí.

Jsou SESSION dost chytré? Jak je to s řetězci, co posílá v COOKIES uživateli? Je to bezpečné?

A co třeba komunikace apache s PHP modulem? a následně s databází? Tam si to zapezpečení neumím moc dobře představit. A pokud server na kterém máme hosting nevlastníme, tak nemáme tuchy, co nám tam studují... (Nebo je tam nějaká možnost šifrovat data?)

Databáze - pokud se už někdo naboural do databáze (což by se fakt nemělo stávat) tak by našel hesla zakodovaná. (SHA1, MD5) - i když jsem slyšel, že někdo prolomil MD5 a že to zvládne i klasický domácí počítač!

Konstanty v PHP codu - jak je to s něma? Jak samotné přihlašovací údaje zaheslovat?


Co si o tom všem myslíte vy? :-)
Joker
Profil
Daniel01
U serveru bych se spolehl na to, že žádný webhoster při smyslech si snad nedovolí hacknout vlastního klienta. Kdyby se to profláklo, za prvé může rovnou zavřít krám a za druhé promptně skončí u soudu.
Pokud tohle nestačí, holt si zařiďte vlastní server se šifrovaným diskem, umístěný v izolované serverovně s monitorovaným přístupem ;-)
Co do webserveru je podle mě Apache dobrá volba- open source a hodně rozšířený, takže chyby se vychytají a prakticky není možné tam instalovat nějaká zadní vrátka, aniž by se na to přišlo. Skutečný paranoik si pak může najmout tým analytiků, kteří prověří zdrojový kód a případně zlepší jeho bezpečnost ;)

Co se týká webové aplikace, IMHO nějak extra "schovávat" třeba údaje pro připojení k databázi na samotném serveru nemá smysl. Pokud je dobře napsaná samotná aplikace, přímo přes "díru" v aplikaci se k přihlašovacím údajům nikdo nedostane. A když už se k nim dostane přímo na serveru, stejně nemá cenu je skrývat, protože s přímým přístupem k serveru už si tak jako tak udělá všechno co bude chtít.

i když jsem slyšel, že někdo prolomil MD5 a že to zvládne i klasický domácí počítač!
MD5 už není bezpečný hash a kolizi k MD5 skutečně dokáže i průměrně výkonný počítač najít prakticky ihned. Je to ale částečně řešitelné i při použití MD5.

A když jedem na klasický http a šifrujeme cookies, tak "men in the midle" moc dobře neobstojí.
Nesdílím tenhle optimismus... podle mého názoru při nešifrované komunikaci (HTTP) prakticky není možné se útoku "man in the middle" bránit.
Takže u kritických aplikací jedine HTTPS, u nekritických se holt spoléhá na to, že realizovat útok "man in the middle" je poměrně složité.

Když to vemem od začátku, od stardantního vstupu (klávesnice) do vnitřku počítače - nulová zapezpečení! Stačí obyčejný key loger + screen loger a je to všechno v háji... :-)
Teď záleží, co je potřeba zabezpečit. Tímhle je samozřejmě možné napadnout přímo počítač uživatele, ale je vcelku problém takhle napadnout server.
Nepříjemný by byl aktivní program v uživatelově počítači, který by vyčkával až se přihlásí a následně "jeho jménem" prováděl nějaké operace. Nicméně to už je zase mnohem složitější, než mu podstrčit keylogger nebo někam ukládat screenshoty obrazovky.
A dokonce ani keylogger nemusí být konečná výhra z pohledu útočníka... stačí ověřovat uživatele ještě nezávislým kanálem, což dělá třeba elektronické bankovnictví.
-> Uživatel zadá jméno a heslo a SMSkou mu přijde jednorázový kód, který ještě musí opsat. Pak je přihlášen. Útočník s keyloggerem sice odchytí jméno, heslo i kód, ale kód už je neplatný a samotné jméno a heslo mu k přihlášení nestačí.

Poznámka:
Shodou okolností před pár dny jsem u sebe na webu napsal článek o zabezpečení hesel. Akorát se hodí k tématu ;-)

Vaše odpověď

Mohlo by se hodit

Příspěvky nesouvisející s webem budou odstraněny.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: