aan alle goede dingen komt een eind, webmasterplein.net 2003 - 2013
wij danken jullie voor al mooie momenten die dankzij dit forum ontstonden - Derk, Rutger en Stef

Beveiliging

Je komt er niet helemaal uit bij het scripten? Übergoede functie geschreven? Alles met betrekking tot scripting, kun je hier terecht.

Beveiliging

Berichtdoor Remi » 25 mei 2010 22:17

Hola mede-WMP'ers,

Op het moment ben ik bezig met het opzetten van een website. Deze website bevat gevoelige psychologische informatie. Dus het is heel belangrijk dat deze gegevens zo goed mogelijk beveiligd worden. Nu heb ik al aan het volgende gedacht, maar hebben jullie ook nog tips of ideeën?
1) Regelmatig mijn wachtwoorden wijzigen
2) Over alle variabels in de sql queries mysql_real_escape_string halen, dit om SQLinjections tegen te gaan
3) Geen userinputs rechttstreek gebruiken of printen, eerst een filter er overheen halen, dit tegen XSS

Verder zat ik er ook aan te denken om aan de users alleen een nummer te verbinden, geen naam of email adres. Mocht een hacker toch om de een of andere reden weten de database te hacken, dan heeft hij als nog niks aan de informatie, omdat hij niet de gegevens met een persoon kan verbinden. Probleem is daarmee echter wel dat ik niet zoiets kan maken als een "wachtwoord vergeten" systeem. Dus als de gebruiker eenmaal zijn logincodes kwijt is, dan kan hij ook nooit meer bij zijn gegevens.
Dus wat denken jullie, hoe kan ik het nog beter dichtspijkeren?

Remi
Avatar gebruiker
Remi
wmpr
 
Berichten: 3010
Geregistreerd: 04 apr 2006 15:22

Re: Beveiliging

Berichtdoor Krassie » 26 mei 2010 09:55

Wat betreft dat wachtwoord vergeten; ik veronderstel dat dat de website eigendom wordt van iemand die eveneens persoonlijk contact heeft met de bezoekers, anders zou ik niet snappen, wat die persoonlijke informatie er moet doen.

Dus zou ik dat gewoon oplossen door bij verliest persoonlijk contact te laten opnemen met de eigenaar en zo nieuw paswoord aan te vragen, de eigenaar kan dan eventueel controleren of het om de rechtmatige eigenaar gaat aan de hand van gegevens die hij lokaal opgeslagen heeft...

Beveiliging, tsja, bij ons in België kunnen we al veel met onze elektronisch id-kaart om in te loggen enzo, maar ik weet niet of er in Nederland ook al zo iets bestaat?
Avatar gebruiker
Krassie
wmpr
 
Berichten: 4526
Geregistreerd: 15 dec 2003 06:28
Woonplaats: Oost-Vlaanderen - België

Re: Beveiliging

Berichtdoor Remi » 26 mei 2010 10:20

Nee, er is eigenlijk geen persoonlijk contact. De website zal vooral testen bevatten en aan de hand daarvan wordt automatisch een rapport en profiel gemaakt.
Elektronisch id-kaart heet in nederland DigiD, maar zoals alles in Nederland werkt techniek en overheid niet goed samen en werkt het voor geen meter. Ik heb de mijne 3 keer opnieuw moeten aanvragen. Bovendien is DigiD alleen beschikbaar voor overheden, dus daar heb ik niks aan.
Avatar gebruiker
Remi
wmpr
 
Berichten: 3010
Geregistreerd: 04 apr 2006 15:22

Re: Beveiliging

Berichtdoor KillerSponge » 26 mei 2010 11:06

Ik vind dat je opzich al prima ideeen hebt, en dat het verder vooral neer komt op goed testen en zorgen dat je geen bugs in je code hebt mbt beveiliging :)

Tevens: ik weet niet of dit soort gegevens onder 'medische gegevens' vallen, maar dat soort data mag je niet opslaan zonder expliciete toestemming van de gebruiker, dus daar moet je misschien op letten.
Blabla en andere onzin - http://killersponge.nl
Avatar gebruiker
KillerSponge
Beheerder
Beheerder
 
Berichten: 14456
Geregistreerd: 24 aug 2004 13:05

Re: Beveiliging

Berichtdoor Derk » 26 mei 2010 21:11

Als je MD5 voor wachtwoorden gebruikt, haal het wachtwoord en daarna de hash een paar honderd keer door de functie. Op die manier kunnen hackers die md5 hashes krijgen in ieder geval niet googelen op het wachtwoord :)

Geld ook voor sha enzo...
Afbeelding
Avatar gebruiker
Derk
Beheerder
Beheerder
 
Berichten: 12634
Geregistreerd: 27 nov 2003 19:50
Woonplaats: Houten


Keer terug naar PHP, ASP, SQL



cron