FAQ |
Kalender |
2008-01-23, 11:25 | #81 | ||
|
|||
Medlem
|
Hann inte läsa igenom alla inlägg men glöm inte session fixation attack om inte det är nämnt..
|
||
Svara med citat |
2008-01-25, 09:31 | #82 | |||
|
||||
Medlem
|
Citat:
// Mats |
|||
Svara med citat |
2008-01-25, 10:46 | #83 | |||
|
||||
Mycket flitig postare
|
Citat:
Man kan ju fördröja på olika sätt, men om man använder vanliga sleep-delayer på en webserver förblir anslutningen/processen öppen på servern, så ifall dom matar på med många användare samtidigt från olika datorer blir det lättare att utföra en denial of service attack om man har en sådan typ av delay. Det kanske är bättre att lägga till en begränsning för antalet felaktiga inloggningar per IP-nr, då kan "hackarna" bara ha 5 försök/IP-nr, oavsett vilket användarnamn dom försökte med. Sen kan man ha en whitelist för dom IP-nr som ska ha lösare restriktioner. |
|||
Svara med citat |
2008-01-25, 11:37 | #84 | |||
|
||||
Medlem
|
Citat:
|
|||
Svara med citat |
2008-01-25, 12:57 | #85 | |||
|
||||
Mycket flitig postare
|
Citat:
Ju enklare lösenord ju mindre risk att man skriver fel |
|||
Svara med citat |
2008-02-25, 15:57 | #86 | ||
|
|||
Nykomling
|
Har suttit och läst igenom denna trevliga tråd nu och tänkte bidra med något som jag har funderat på att testa.
Problemet är som tidigare nämnt att saltet som man använder sparas någonstans, så kommer någon åt det så är det kört i vilket fall som helst, trots tex SHA1. Jag vill lägga saltet i minnet på webbbservern och enbart läsa det därifrån. Vid en omstart eller liknande måste alltså saltet anges av en person, vilket kan göras via tex lämpligt gränssnitt (mobil, webbsida etc... och då med SSL företrädesvis). Saltet skrives i en fil varpå servern/applikationen startas om. Vid start av applikation läses saltet in i minnet och filen raderas. Någon som testat detta innan jag testar...? /Mani |
||
Svara med citat |
2008-02-25, 19:44 | #87 | |||
|
||||
Mycket flitig postare
|
Citat:
Det man kan göra är att lägga till en statiskt salt utanpå användarens salt, denna statiska salt lagras enbart i RAM (som du syftar på), jag kollade lite detta förut (i Apache) men jag hittade inget bra sätt att läsa in det statiska saltet till RAM så att alla sessioner kommer åt det på ett enkelt sätt. Jag kom på nu att det kanske funkar att sätta det som en ENV variabel, rapportera om du hittar något bra sätt. |
|||
Svara med citat |
2008-02-25, 22:46 | #88 | ||
|
|||
Nykomling
|
Jag kör det mesta i Windows, så jag tänkte där använda en applikationsvariabel för ändamålet. Tanken är precis som du säger att ha ett personligt salt för varje medlem också.
/Mani |
||
Svara med citat |
Svara |
|
|