Segurana Diiiiinovvvvuuuuuu

[renatodex]

Bom, então!

A minha pergunta é a seguinte.

Tem algum risco se meu script php acessar o banco de dados sem pedir a senha, por exemplo:

O usuario vai e digita os dados:

Login: Cicrano

Senha: 127rg9

Quando ele submeter eu vou gerar a seguinte instrucao sql.

SELECT * FROM tbluser WHERE 1 AND Nome = 'nome'

Ai eu pego as informacoes que eu preciso, saio e faco a consulta do modo correto:

SELECT * FROM tbluser WHERE 1 AND Nome = '$nome' And Senha = '$senha'

Tem algum risco? No meio dessa primeira conexao tem algum risco?

[Error404]

utilizando-se os valores randomicos guardados

A única coisa randômica que você pode ter é um código gerado na criação do usuário que interfere no modo de criptografia da senha.

Guardar isso no banco de dados = anular o processo porque o código também vai estar em poder de quem for ver os hashes...

[renatodex]

Gente, eu não quero tornar impossivel, o que eu quero é dificultaar..

[Error404]

Gente, eu não quero tornar impossivel, o que eu quero é dificultaar...

Só acho que você está dificultando no lugar errado.

Agora, aquela idéia de deixar a criptografia ter 1 código gerando várias senhas possíveis é uma boa idéia. É bom basear isso em um campo não suspeito, assim uma possível tentativa de encontrar a lógica da sua codificação fica mais difícil...

[rEd nEcK *]

rsss,

cara eu tava lendo seus topicos, bom o q tenho a dizer, firmeza pode fazer a crypt mais segura do mundo, se algum hacker quiser te fud* em 1 mes sua funcao já foi quebrada...

tipo não adianta, você pode ser esperto e criar uma super funcao, mais sempre vai ter alguém esperto q nem você para quebra-lá...

então o q eu faco, faco meus sistemais com md5(md5($string)) se o cara quiser zuar ele vai zuar, o maximo q podemos fazer é atrasa-ló, e isso ainda é pior, para um hacker quanto mais dificil, quanto maior a dificuldade ele tem mais insentivo !

moral da historia, você esta tendo trabalho atoa, respeito q você queira fazer, mais desde agora já digo q não vai adiantar nada....

rs, não se desanime, pois como o error disse sua funcao poderá lhe trazer milhoes de dolares =]...

agora sobre discutir com moeradores, cara nunca é bom, eles não sabem tudo mais não escrevem as coisas sem saber, pesquisam antes, você ve o error programa php a mais de 3 anos... é normal você discordar, eu mesmo uma vez quando tava comecando php sistemei q conseguia fazer um chat em cookies... paguei mo mico, mais firmeza é normal =]...

é so isso cara, boa sorte no seu projeto, e não leve a mal o q eu disse, foi na melhor das intencoes..

falou

[renatodex]

Cara, eu acho assim, por mais que os moderadores saibam, algumas coisas que eu vi escrito postada pelos moderadores eu discordei e continuo discordando.

Eu concordo plenamente com o que você falou e se espelha no que os moderadores quiseram passar, não existe sistema seguro realmente, se um hacker quiser quebrar ele vai quebrar, eu sei disso, mas o que eu quero é dificultar, porque assim:

Imagina se eu chego no meu codigo e coloco assim, do jeito que você falou:

md5(md5($campo));

Se o cara tiver um programa que descodifica o md5 (o que eu acho dificil mais não impossivel) a unica coisa que ele vai fazer é chegar no programinha dele e clicar no botao, "Descriptografar" duas vezes! E é justamente isso que eu quero impedir, que se torne uma coisa comum a todos os sistemas, porque muitos usuarios confiam seu sistema no MD5, e mal sabem que ele pode não ser tão seguro assim.

Vou dizer novamente, não estou duvidando da palavra dos moderadores, eu só acho plenamente possivel fazer um hacker quebrar a cabeca por uns dois meses só pra ter acesso ao meu banco de dados, enquanto no seu script, se ele tivesse essa ferramenta que eu me refiro, ele não gastaria mais de 10 minutos. Entende qual é a minha logica?

Agora me surgiu uma duvida sobre isso, o hacker tambem pode ter acesso aos scripts em php que estao no site?

[renatodex]

Tipu Error, o que você quis dizer quando disse pra mim basear aquele script em um campo não suspeito? Eu tava lendo agora, mal num ter perguntando antes!!

[rEd nEcK *]

rssss entendo seu lado cara...

e existe sim descrypt_md5... não é dificil fazer é trabalhoso...

certo, o hacker teria qapertar 2 vezes no descrypt dele, mais e para ele descobrir q eu usei md5 2 vezes????

ae q esta o ponto q você tem vatagem do hacker, ele pode ser esperto, saber invadir o q ele quiser....... porem você pode engana-lo fingindo q seu sistema não tem muita seguranca =]...

sobre ele ter acesso, tem ae q complica você tem q saber esconder dentro do seu codigo coisas importantes.... coisas q dificultem o hacker...

entendeu onde eu quero chegar? quanto mais idiota parecer seu script melhor, porque o hacker vai achar q não tem seguranca =]...

pense nisso

flwwww

[renatodex]

hehe, eu não sei como ele iria descobrir, mas eu no lugar do hacker, a primeira coisa que eu iria fazer quando descriptasse a primeira vez e visse que sobrou um codigo criptado com o mesmo formato...seria clicar no botao de novo!

Mas assim, existe algum jeito de proibir que algum usuario mal intensionado não tenha acesso a um script ou a um arquivo?

[rEd nEcK *]

é seria uma possibilidade =] mais então pode usar um md5 junto com algum outro tipo de encrypt ..

não, pois para ele ter acesso aos arquivos ele teria q invadir o servidor, ae já é outra coisa =]

falou

[renatodex]

Huum, então estamos chegando a um ponto em comum, se ele não pode ver meu script PHP como ele vai saber a minha logica de encriptacao? A minha ideia era de usar o meu metodo de encriptacao junto com o MD5. já pensou se eu colocasse a variavel da senha dentro de um for pra ser encriptada, e fosse alternando entre o meu metodo de encriptacao e o MD5...naahh, é uma ideia louca, heuaheuahu.

Bom então, o hacker não tem acesso aos meus scripts?

[rEd nEcK *]

rsssss

ele teria acesso se invadisse o servidor, assim como para acessar a db teria q invadir o servidor, ou usar um sql injector...

falou

[Fabyo]

renatodex só queria te lembrar uma coisa sobre isso que você esta fazendo

você pode ate pensar que ta no caminho certo mas pelo script que você fez da pra perceber que você não tem dominio legal sobre funções e logica e você é iniciante como você diz, e você nem sabia concatenar uma variavel e se você postou aqui é porque você tinha duvidas certo?, e cheio de duvidas como você pode achar que esta certo?

acho dificil você criar uma função sem ao menos ter conhecimento pra isso

agora pensa ,se acha que esta criando um script seguro ,mas só você postar ele ai que a gente vai te mostrar um monte de erros e você vai ver aonde esta errando e você deve estar fazendo ate uma gambiarra e nem sabe, se você conhece-se melhor as funções e soubesse trabalhar com elas você veria o que você esta fazendo é perda de tempo

se por mais que queira inventar algo seguro você precisa conhecer as ferramentas para isso, não leve a mal mas muitos iniciantes acham que descobriram uma novidade mas depois percebem que pagaram mico

outro detalhe que você nem se preoculpou com a segurança do sql, que adianta sua senha estar super criptografada se da pra entrar digitando 123

basta enviar um comando em sql e pronto seu codigo ficou inutil

mesma coisa uma casa cheia de segurança e alarmes mas o ladrao tem a chave

ficou inutil toda segurança

eu fiz um sistema praticamente impossivel de ser descoberto a logica e ainda criei uma função que verifica a senha,e se você ver a função ela é funcional e simples

você não precisa quebrar a cabeça deixa isso pros hackers

mas com essas experiencias te sirvam de exemplo pra você sempre melhorar

ate mais e boa sorte