[SimonP]

Citat:

Originally posted by Adam@Jan 14 2008, 22:50
Att hasha lösenord 65000 gånger tycker jag låter ganska onödigt. Om användaren väljer ett lösenord som inte finns i någon vanlig ordlista och om man använder en bra hash som sha1 på ett bra salt så tar det helt enkelt för lång tid för de som hänger på FB .

Onödigt?, jo för en del, men det beror på vilken nivå man vill man lägga sig på.

Jag nämde bara hur ett av världens bästa krypteringssystem gör, vill man ha extremt hög säkerhet måste man göra på liknande sätt för att förhindra bruteforce attacker, KDF som metoden kallas.

Men visst, för hyffsad säkerhet räcker det med en hashfunktion+salt, utan iterering.

[kullervo]

Den här tråden är svaret på varför webbsajter är sopigt gjorda - idioterna är överlägsna i antal mot dom som faktiskt har koll. Webbutvecklare är ofta bottenskrapet av programmerare och dom som faktiskt är kompetenta hänger inte på sajter/forum där 99% av alla är sopor sitter och gissar och spånar fram dåliga idéer hela dagarna. T.ex. var det någon som nämde att "magic_quotes_gpc" är nån form av lösning på SQL-injectionspromblematiken i den här tråden. Ingen kommer nog ens orka kommentera det uttalandet och istället kommer 10-tals kanske 100-tals osäkra skälar få bekräftat för sig att den dåliga idéen faktiskt är en bra idée. SQL-injections är ett näst intill ett låtsasproblem. Det är bara dom som inte använder sig av ett ramverk för att garantera att SQL-injections inte kan ske som har problem med det. Med andra ord, det finns inga *programmerare* som brottas med just SQL-injections. Och trots det så snackas det om det hej vilt...

Jag är ledsen att jag sprider tråkiga vibbar (som vanligt).

[kullervo]

Vill förtydliga poängen i mitt förra inlägg. Att starta en diskussion för att få fram bra konkreta tips kommer man inte långt med. Dåliga idéer och lösninger kommer fortsätta dyka upp. Mötesplatser på webben där folk sitter och gissar kommer nog också alltid att finnas. Så länge de ansvariga utgivarna inte axlar sitt ansvar ordentligt föder det mer okunskap.

Det måste vara svårt att börja arbeta som webbutvecklare nuförtiden. Det är så mainstream att programmerarna försvinner i mängden. Ta MySQL som exempel. Finns det någon mjukvara med fler gissa-experter än MySQL? Lätt hänt att blir lurad.

Ett tips till folk som bryr sig är att lära sig av erkänt bra källor och inte lyssna på vad folk slänger ur sig på nätet. Det finns massor av bra litteratur! Diskussionsforum på webben skulle kunna möjliggöra användarna att framhäva bra inlägg och hissa varningsflagg för dåliga, något som jag tror skulle kunna hjälpa mycket på lång sikt. Det är bara ett par enkla idéer.

Btw, menade "själar" och inte "skälar" i förra inlägget.

[SimonP]

Citat:

Originally posted by kullervo@Jan 15 2008, 00:25
Ett tips till folk som bryr sig är att lära sig av erkänt bra källor och inte lyssna på vad folk slänger ur sig på nätet. Det finns massor av bra litteratur!

Nja, håller inte med dig helt, delvis dock, men man kan lära sig väldigt mkt genom internet, det finns mkt felaktigheter, men det finns minst lika mkt som är korrekt. Om man som läsare är osäker på vad man ska tro på, kan man dubbelkolla fakta på andra sidor skrivna av andra personer. Det är inte all literatur som är bra heller.

[Danski]

Citat:

Originally posted by kullervo@Jan 14 2008, 23:49
Den här tråden är svaret på varför webbsajter är sopigt gjorda - idioterna är överlägsna i antal mot dom som faktiskt har koll. Webbutvecklare är ofta bottenskrapet av programmerare och dom som faktiskt är kompetenta hänger inte på sajter/forum där 99% av alla är sopor sitter och gissar och spånar fram dåliga idéer hela dagarna. T.ex. var det någon som nämde att magic_quotes_gpc är nån form av lösning på SQL-injectionspromblematiken i den här tråden. Ingen kommer nog ens orka kommentera det uttalandet och istället kommer 10-tals kanske 100-tals osäkra skälar få bekräftat för sig att den dåliga idéen faktiskt är en bra idée. SQL-injections är ett näst intill ett låtsasproblem. Det är bara dom som inte använder sig av ett ramverk för att garantera att SQL-injections inte kan ske som har problem med det. Med andra ord, det finns inga *programmerare* som brottas med just SQL-injections. Och trots det så snackas det om det hej vilt...
Jag är ledsen att jag sprider tråkiga vibbar (som vanligt).

Faktum återstår att det faktiskt är ett problem (av många) med SQL-injections, annars skulle vi inte se det hända dagligen. Att nybörjare skapar sidor är inte på något sätt negativt mer än att sidan kan innehålla osäker kod, det är så nytt folk kommer till branschen, så nyskapandet börjar och så webben blir bättre.
En hobbyfix skapad för att undelätta för nybörjarmisstag (magic quotes) är bättre än ingen fix, kan knappast begära att alla som någonsin kommer skapa en websida ska vara en av världseliten inom programering utan några som helst brister. Det finns en anledning till varför det lades till som en funktion och varför intrång med injections har dalat... WN består både av erfarna gamla rävar och av unga hungriga nybörare, tips till alla uppskattas säkert.

I en utopi där endast felfri kod skapas hade vi inte behövt brandväggar och antivirus, alla hade surfat nakna och människan hade fötts perfekt med ett minne som kan skapa 40-teckenlösenord till alla sidor.

För att skydda ett system måste man tänka på varenda hål som existerar i världen, litet som stort, inkräktaren behöver bara hitta en enda lucka. Varenda åtgärd är ett steg i rätt riktning och det positiva i allt det här skitet som hänt är att plötsligt så sitter alla och säkrar sina system och kod. Hotet har blivit verkligt...

[StefanBergfeldt]

För mig som driver en webbplats med användarinformation, vad är det jag ska tänka på för att databasen inte ska slippa ut?
Vi förutsätter att jag har hash+salt och att min databas har olika konton för administration/webbgränssnitt

[Adam]

Citat:

Originally posted by kullervo@Jan 14 2008, 23:49
Den här tråden är svaret på varför webbsajter är sopigt gjorda - idioterna är överlägsna i antal mot dom som faktiskt har koll. Webbutvecklare är ofta bottenskrapet av programmerare och dom som faktiskt är kompetenta hänger inte på sajter/forum där 99% av alla är sopor sitter och gissar och spånar fram dåliga idéer hela dagarna. T.ex. var det någon som nämde att "magic_quotes_gpc" är nån form av lösning på SQL-injectionspromblematiken i den här tråden. Ingen kommer nog ens orka kommentera det uttalandet och istället kommer 10-tals kanske 100-tals osäkra skälar få bekräftat för sig att den dåliga idéen faktiskt är en bra idée. SQL-injections är ett näst intill ett låtsasproblem. Det är bara dom som inte använder sig av ett ramverk för att garantera att SQL-injections inte kan ske som har problem med det. Med andra ord, det finns inga *programmerare* som brottas med just SQL-injections. Och trots det så snackas det om det hej vilt...

Jag är ledsen att jag sprider tråkiga vibbar (som vanligt).

Tydligen har du inte koll på de senaste intrången. Flera av dem har högst troligt skett tack vare SQL injection-attacker. Hade dessa sidor haft magic_quotes_gpc igång hade flera databaser inte cirkulerat på nätet idag.

Min poäng är att det är som en start onödigt att hasha lösenord till en webbapplikation 65k ggr, eller att lusläsa koden till alla webbapplikationer som man kör. Det finns enkla fixar som tar hand om de största problemen.

Sedan att du kallar 90% av WNs medlemmar för idioter för att de inte kör med ett ramverk till PHP tycker jag är lite mysigt

[SimonP]

Citat:

Originally posted by Adam@Jan 15 2008, 13:06
Min poäng är att det är som en start onödigt att hasha lösenord till en webbapplikation 65k ggr, eller att lusläsa koden till alla webbapplikationer som man kör. Det finns enkla fixar som tar hand om de största problemen.

:huh: Jag har aldrig skrivit att man skall starta med att hasha lösenordet 65k ggr, läs mina inlägg igen...

Enkla fixar tycker inte jag att det finns, säkerhetstänkandet bör finnas från start, annars kan man tvingas att gå igenom och lusläsa koden i efterhand.

[Adam]

Citat:

Ursprungligen postat av SimonP

Citat:

:huh: Jag har aldrig skrivit att man skall starta med att hasha lösenordet 65k ggr, läs mina inlägg igen...

Enkla fixar tycker inte jag att det finns, säkerhetstänkandet bör finnas från start, annars kan man tvingas att gå igenom och lusläsa koden i efterhand.

Absolut det var bara ett exempel på att man inte behöver krångla till det.

Realiteten är att säkerhetstänkandet tydligen inte finns från start - då är det bättre med enkla fixar än ingenting alls.