Met md5 kun je wel gegevens encrypten, maar je kunt ze daarna niet meer decrypten. Meer info over MD5: . Encrypten kun je ook doen met SHA1: en met Crypt:
Er zijn ook functies waarmee je de gegevens kan encrypten en decrypten, maar die zijn natuurlijk wel minder veilig.
Een voorbeeld van zo'n functie is Base64:
- encrypt: http://nl3.php.net/base64_encode
- decrypt: http://nl3.php.net/base64_decode
aan alle goede dingen komt een eind, webmasterplein.net 2003 - 2013
wij danken jullie voor al mooie momenten die dankzij dit forum ontstonden - Derk, Rutger en Stef
wij danken jullie voor al mooie momenten die dankzij dit forum ontstonden - Derk, Rutger en Stef
gegevens via php versturen, probleem
26 berichten
• Pagina 1 van 2 • 1, 2
door vosManz » 11 mei 2005 18:34
Het is inderdaad niet veilig (base64), maar je moet wel weten welke encryptie gebruikt is, en hoe je die om kan keren. De meeste mensen weten dit niet zomaar.
Maargoed, een gevorderde gebruiker (of hacker) kan zoiets natuurlijk makkelijk doen.
Op php.net kun je nog een stukje lezen over sessies, daar staat ook een stukje over veiligheid bij: http://nl2.php.net/session
Het beste is natuurlijk om te werken met sessies, én met MD5. Want als een hacker je database weet te hacken, kan hij in alle gegevens, of je nu sessies hebt of niet. Dus: sla het wachtwoord ALTIJD encrypted op in een database!
Maargoed, een gevorderde gebruiker (of hacker) kan zoiets natuurlijk makkelijk doen.
Op php.net kun je nog een stukje lezen over sessies, daar staat ook een stukje over veiligheid bij: http://nl2.php.net/session
Het beste is natuurlijk om te werken met sessies, én met MD5. Want als een hacker je database weet te hacken, kan hij in alle gegevens, of je nu sessies hebt of niet. Dus: sla het wachtwoord ALTIJD encrypted op in een database!
-
vosManz - wmpr
- Berichten: 139
- Geregistreerd: 17 apr 2005 21:26
door vosManz » 12 mei 2005 13:59
Dan heeft die gebruiker een stom wachtwoord gekozen, want het is echt bijna onmogelijk. Als deze manier onveilig is, kun je beter ophouden, want dan is vrijwel niets veilig.
Als je voor elke site hetzelfde wachtwoord gebruikt, is dat ook makkelijk te onthouden. Mijn wachtwoord gebruik ik ook bijna overal, maar die zul je op geen enkele wachtwoordenlijst terugvinden.
Als het wachtwoord met brute-force snel ontdekt word, dan heb je gewoon een heel stom wachtwoord gekozen, en is het je eigen schuld. Maar als je een 'normaal' wachtwoord hebt (wat dus niet zo vaak voorkomt, of een zelf verzonnen woord(combinatie), het liefst met een of meerdere getallen, en langer dan 6 of zelfs 8 tekens) is het vrijwel onmogelijk om het te achterhalen.
Maar wat wil je beveiligen dan? Je moet wel iets heel waardevols hebben, wil je doelwit worden van een hacker, zoals Derk al aangeeft.
Als het ECHT belangrijk is, kun je ook de verbinding encrypten met een SSL server (Secure Socets Layer). Dat zijn internetsite's die beginnen met https:// maar dat moet je server wel ondersteunen.
@Derk: kleine site's slaan het idd vaak niet gecodeerd op. Ik beheer ook een kleine site, en heb het er alleen ingebouwd omdat het een kleine moeite was, en om toch een beetje aan de privacy van de gebruikers te denken
Als je voor elke site hetzelfde wachtwoord gebruikt, is dat ook makkelijk te onthouden. Mijn wachtwoord gebruik ik ook bijna overal, maar die zul je op geen enkele wachtwoordenlijst terugvinden.
Als het wachtwoord met brute-force snel ontdekt word, dan heb je gewoon een heel stom wachtwoord gekozen, en is het je eigen schuld. Maar als je een 'normaal' wachtwoord hebt (wat dus niet zo vaak voorkomt, of een zelf verzonnen woord(combinatie), het liefst met een of meerdere getallen, en langer dan 6 of zelfs 8 tekens) is het vrijwel onmogelijk om het te achterhalen.
Maar wat wil je beveiligen dan? Je moet wel iets heel waardevols hebben, wil je doelwit worden van een hacker, zoals Derk al aangeeft.
Als het ECHT belangrijk is, kun je ook de verbinding encrypten met een SSL server (Secure Socets Layer). Dat zijn internetsite's die beginnen met https:// maar dat moet je server wel ondersteunen.
@Derk: kleine site's slaan het idd vaak niet gecodeerd op. Ik beheer ook een kleine site, en heb het er alleen ingebouwd omdat het een kleine moeite was, en om toch een beetje aan de privacy van de gebruikers te denken
-
vosManz - wmpr
- Berichten: 139
- Geregistreerd: 17 apr 2005 21:26
door Derk » 12 mei 2005 14:28
hmm ik vind het wel leuk in de w8woordenlijst te kijken :p
kleine moeite kan ik niet meer zeggen want dan moet ik tig pagina's aanpassen ^^
trouwens als je echt veilig wilt zijn moet je je paswoorden met flatfiles doen en dan je FTP account verwijderen ^^
kleine moeite kan ik niet meer zeggen want dan moet ik tig pagina's aanpassen ^^
trouwens als je echt veilig wilt zijn moet je je paswoorden met flatfiles doen en dan je FTP account verwijderen ^^
-
Derk - Beheerder
- Berichten: 12634
- Geregistreerd: 27 nov 2003 19:50
- Woonplaats: Houten
26 berichten
• Pagina 1 van 2 • 1, 2