it-swarm-tr.com

Sadece https üzerinden kullanıcı adı ve şifre gönderiyorum. Bu tamam mı?

Bir kullanıcı siteme giriş yaptığında, kullanıcı adını ve şifresini https üzerinden bana gönderir. SSL'nin yanı sıra, parolanın özel bir gizliliği yoktur - tarayıcıda bellekteki bellekte açıkça görülür.

Yapmam gereken başka bir şey var mı? RAM'de bile bir şekilde karma mı tutmalıyım?

53
Riley Lark

Bu iyi. Başka bir şey yapmanıza gerek yok. RAM'de karıştırmaya veya gizlemeye gerek yoktur.

Kalıcı bellekte (örn. Bir veritabanında) saklamadan önce parolayı sunucu tarafında uygun bir şekilde karmaya dikkat etmelisiniz ve parola karması için uygun yöntemleri kullanmaya dikkat etmelisiniz. Örneğin, bkz. Şifreleri nasıl güvenli bir şekilde girerim? , Hangi şifre karma yöntemini kullanmalıyım? , En güvenli şifre karma algoritmaları? , Herhangi bir güvenlik uzmanı şifre saklama için bcrypt'i öneriyor mu? .

Kullanıcılarınız için ek güvenlik sağlamak istiyorsanız, atabileceğiniz bazı adımlar şunlardır:

  • Site genelinde SSL/TLS kullanın. Sitenizi HTTP aracılığıyla ziyaret etme girişimleri hemen HTTPS'ye yönlendirilmelidir.

  • Sitenizde HSTS etkinleştirin. Bu, tarayıcılara yalnızca HTTPS aracılığıyla bağlanmasını söyler. Paypal kullanır. Firefox ve Chrome'un son sürümlerinde desteklenir.

Bunları yapmanız gerektiğini söylemiyorum (site çapında SSL/TLS büyük bir fark yaratıyor olsa da). Ancak bunlar, bazı yaygın saldırı vektörlerine karşı güvenliği güçlendirmeye yardımcı olabilecek bazı seçeneklerdir.

43
D.W.

Yapabileceğiniz ek bir şey, istemci sertifikalarını kullanmak olacaktır. Sunucu, yalnızca bir istemci sertifikası isteyerek MitM olmadığını garanti edebilir. Aksi takdirde, bir MitM'nin olmadığını doğrulamak için müşteriye güvenmek zorundadır. Bu çok daha fazla hizmet güvenmeye istekli olması gerekir.

6
Steve Dispensa