Merhaba arkadaşlar... Kısaca soracağım... Yapmakta olduğum bi web sitem var... Bunun içerisinde şirket verileri de saklanacak ki önemli bilgiler olacak... güvenlik için önerileriniz nelerdir?
MD5 mi SHA1 mi session id nin eksileri varmı bunlarla ilgili yorumlarınızı bekliyorum.. Teşekkürler...
bildiğim kadarıyla md5 algoritması hala çözülmüş değil genelde kullanılan sistem md5 ile şifrelenmiş id nin session aracılığıyla taşınması öte yandan her veri girişini tek tek yazdığın özel bir kontrol fonksiyonundan geçirmen gerekicektir bazı terminal programları ile browser dışından post işlemi yapılabiliniyor. yine sql injection için tablo adlarının başına ön ad eklemelisin ( 213871298kullanici gibi tablo adları için) dosya izinleri de iyi ayarlanmış olmalı tabiki extra olarak robots.txt den gerekli dosyaların indexlenmemesi için önlem alabilirsin bunun yanında include kullanıyorsan sadece include ile kullanılan dosyaların içine kendi adlarını taşıyan bir değişken atayıp sonrada php_self ile karşılaştırabilirsin böylece include dosyalarına doğrudan erişimi engellersin
veritabanı yetkileride iyi ayarlanmalı eğer ben böyle birşey yazıyor olsaydım pc deki raid sistemini kullanırdım yani çift database fakat birinde silme izni olmıyacak sadece silindiğini belirten bir boolean alan olacak aradabir eşitleme yapılarak da databasedeki şişme engellenir
MD5 De SHa1 de tek taraflı encodingdir. sadece rakamlardan oluşmadığı sürece tersinin buluması zordur.
Session + md5 demek güvenlik demek . iyi çalışmalar.
teşekkürler arkadaşlar... Ayrıntılar için sizleri tekrar rahatsız edeceğim... bu söyledikleriniz hakkında biraz daha araştırma yapmam gerekiyor...
İkisinde de şifre 123456 gibi değilse çözülmesi çok zor,ancak md5leri çözmek imkansız da değil,sha1 'in çözülüp çözülmediği hakkında çok ayrıntılı bilgi bilmiyorum
quote:
Orjinalden alıntı: Juduras
İkisinde de şifre 123456 gibi değilse çözülmesi çok zor,ancak md5leri çözmek imkansız da değil,sha1 'in çözülüp çözülmediği hakkında çok ayrıntılı bilgi bilmiyorum
MD5 algoritmasını tek yönlü olarak biliyordum nasıl çözülüyormuş mesela şunu benim için bi çözebilirmisiniz (7271e2c872f5ce1f500f22af9b051b0e)
Ben çözebilirim demedim ancak çözebilenler var , arkadaşıma verdim çözebilirse verecektir mutlaka,ancak dediğim gibi şifreniz güzel bi kombinasyonla yaratıldıysa bulması çok zor,basit olanları bulabiliyorlar,şifresini çok kısa tutan vBulletin kullanıcısı bi arkadaşım hacklenmişti mesela şov yaparken :) hackleyemezler diyordu
tek çözüm yöntemi var oda muhtemel şifreleri parolaları md5 liyip siteye yazdığınız hash leri karşılaştırıyor bunun önüne geçmek için global bir ön ad tanımlanırsa ve her güvenlik gereksiniminde kullanılırsa siteniz lamerlar tafından hacklenmez
bunlar ayar.php gibi her sayfaya include edilen bir sayfaya konmali
$session_start(); $admin_parolasi="123456" $on_ad="Sen Başkasıııın, sen başkasııın, ah nafileee, sen başkasııın" if (md5($on_ad.$admin_parolasi)==$_SESSION['cokgizlisifre']) { $giris=true; } else { $giris=false;}
Ben çözebilirim demedim ancak çözebilenler var , arkadaşıma verdim çözebilirse verecektir mutlaka,ancak dediğim gibi şifreniz güzel bi kombinasyonla yaratıldıysa bulması çok zor,basit olanları bulabiliyorlar,şifresini çok kısa tutan vBulletin kullanıcısı bi arkadaşım hacklenmişti mesela şov yaparken :) hackleyemezler diyordu
MD5 i Çözme Diye bişey yok. bulma vardır. mesela benim de localde şifre üretip MD5 ve SHA1 ini saklayan bir scriptim var. 800.000 şifreyi geçmiş bunların 1 tanesinin MD5 ini denesem bulucam. Çözüyo dediklerini boyle Buluyo.
quote:
Orjinalden alıntı: DeLLy®
quote:
Orjinalden alıntı: Juduras
Ben çözebilirim demedim ancak çözebilenler var , arkadaşıma verdim çözebilirse verecektir mutlaka,ancak dediğim gibi şifreniz güzel bi kombinasyonla yaratıldıysa bulması çok zor,basit olanları bulabiliyorlar,şifresini çok kısa tutan vBulletin kullanıcısı bi arkadaşım hacklenmişti mesela şov yaparken :) hackleyemezler diyordu
MD5 i Çözme Diye bişey yok. bulma vardır. mesela benim de localde şifre üretip MD5 ve SHA1 ini saklayan bir scriptim var. 800.000 şifreyi geçmiş bunların 1 tanesinin MD5 ini denesem bulucam. Çözüyo dediklerini boyle Buluyo.
Ön Ad kullanımı işte bu yüzden önemli çünkü girilen metin kaç karakter olursa olsun md5 çıkışı 32 aynı karakter sayısındadır her şifre başına "asla bulamıcan ha ha ha" şeklinde rasgele yazılmış mantığı olmayan bir cümle,kelime yada harf getirilirse bu tür şifre saklayan veritabanlarına sahip siteler hiçbir risk faktörü oluşturmaz
yeni mesaja git
Yeni mesajları sizin için sürekli kontrol ediyoruz, bir mesaj yazılırsa otomatik yükleyeceğiz.Bir Daha Gösterme