Aplikacje internetowe

Kategoria: Logowanie

  • Dlaczego warto solić hasła?

    Jakiś czas temu podczas opisywania bezpieczeństwa funkcji hashujących pisałem jak solenie haseł zwiększa ich bezpieczeństwo. Celem tego działania miało być utrudnienie pracy tęczowym tablicom. Wiele osób uważa, że samo hashowanie haseł daje wystarczający poziom bezpieczeństwa – przykładowo porzucając MD5 na rzecz SHA-1 / SHA-2. Rozumowanie takie ma jedną drobną wadę, mianowicie nie potrzeba „złamać” hasha,…

  • Flashowe logowanie

    Poniższa notka będzie opisywała dwa zagadnienia, które na blogu nie były jeszcze poruszane. Będą to technologia Flash oraz narzędzie Burp Suit. Flash większości osób kojarzy się wyłącznie z animacjami. Jednakże jakiś czas temu firma Adobe zadbała o developerów tworząc framework Flex. W związku z tym coraz częściej Flash może być spotkany w roli środowiska dla…

  • Autologowanie

    Wraz z wdrożeniem systemu logowania następuje pytanie czy dać użytkownikom możliwość zautomatyzowania tego procesu, dzięki czemu za każdym razem nie będą musieli podawać swojego loginu i hasła. Głównym przeciwwskazaniem takiej funkcjonalności jest wrażliwość danych jakie są dostępne po zalogowaniu.

  • Bezpieczne logowanie

    Pierwszą czynnością podczas logowania (zaraz po filtracji danych) jest sprawdzenie czy podany użytkownik istnieje w naszym systemie. Z zasady odbywa się to za pośrednictwem zapytania SELECT, które wyszukuje użytkownika na podstawie podanych przez niego danych.

  • Dynamiczne logowanie

    Każde, nawet najbardziej skomplikowane hasło może zostać złamane. Jedyną niewiadomą w tym procesie jest czas potrzebny do wygenerowania wszystkich możliwych kombinacji znaków. Powodem takiego stanu rzeczy jest statyczność hasła. Mianowicie podczas ataku brute force każdy wygenerowany ciąg znaków porównywany jest zawsze z tym samym hasłem znajdującym się w bazie. Gdyby zapewnić zmienność hasła przy każdym…

  • Logowanie Apache

    W przypadku logowania, które ma działać, a nie zapewniać nam ogromne możliwości konfiguracji i kontroli użytkowników możemy skorzystać z mechanizmu wbudowanego w serwer Apache. Udostępnia ono dwa tryby logowania basic oraz digest. Różnica między nimi polega na sposobie przesyłania danych do serwera. W przypadku trybu digest dane logowania (login i hasło) przesyłane są w formie…

  • Podstawy zabezpieczania logowania.

    Moduł logowania jest podstawowym elementem każdego systemu informatycznego. Umożliwia on dostęp do wybranych zasobów tylko uprawionym użytkownikom. Jest on krytycznym miejscem aplikacji, przełamanie jego zabezpieczeń automatycznie wiąże sie z przydzieleniem atakującemu wyższych uprawnień. Sposób zabezpieczenia procesu logowania powinien być adekwatny do wrażliwości danych, do których strzeże on dostępu. Nie ma sensu tworzyć skomplikowanych systemów zabezpieczających…