Co każdy Web developer powinien wiedzieć o szyfrowaniu?

Wiedz, aby nie pisać własnych funkcji szyfrowania. Istniejąca, zaufana Biblioteka jest najlepszym sposobem, aby przejść tam, gdzie to możliwe. Unikaj chłodnych, skrajnych technologii, które nie mają za sobą wielu udanych godzin programistycznych i godzin użytkowników. Wiedz, że nie ufaj wybranej funkcjonalności, dopóki nie przetestujesz jej osobiście, w pierwszej osobie. Bądź na bieżąco z nowościami, które mogą z dnia na dzień zmienić wybraną funkcjonalność. Wiedz o tym tylko dlatego, że używasz najlepszej technologii szyfrowania dostępne dzisiaj, że nic nie chroniłeś, jeśli zostawisz klucze na tabeli (np. cleartext nie jest w pamięci podręcznej lub przechowywany w innej tabeli w tej samej bazie danych, klucze prywatne nie pozostają otwarte)

• zrozum różnicę między szyfrowaniem i haszowaniem
• zrozumieć powód
• zrozum, że HTTP jest cleartext
• zrozumieć, co to jest HTTPS
• zrozum, że nigdy (prawie nigdy) nie będziesz w stanie stworzyć lepszych metod haszujących lub szyfrujących niż te, które biblioteki stron trzecich i wbudowane biblioteki już robią

Ta technologia nie jest najsłabszym ogniwem bezpieczeństwa.

• pracownicy najsłabszym ogniwem w bezpieczeństwie IT
• najsłabsze ogniwo bezpieczeństwa: Ludzie
• Hasła: Najsłabsze Ogniwo?
• Bezpieczeństwo Najsłabszego Ogniwa
• Najsłabsze Ogniwo

Że można go złamać bez względu na to, co zrobisz.

Gdzie dowiedzieć się o bezpieczeństwie: Pobierz książkę Schneiera Kryptografia stosowana .

Krótka odpowiedź

You can never be too secure

Użyj solone hashowanie hasła dla zwiększenia bezpieczeństwa

Dłuższa odpowiedź (jeszcze nie pełna)

Bezpieczeństwo nie jest czymś, czego można się nauczyć dzięki szybkiemu samouczkowi w sieci. Wymaga to dogłębnej wiedzy nie tylko o tym, jakie luki istnieją, ale Dlaczego istnieją i Jak działają. Jednym z największych problemów (szczególnie w open source), czy nowe metody są dodawane cały czas, dlatego musimy zrozumieć pojęcia i teorię bezpieczeństwa.

przeczytaj książki, weź udział w zajęciach i przetestuj luki na lokalnej maszynie. następnie powoli zaczniesz rozumieć koncepcję, jak zabezpieczyć aplikację internetową.

Sprawdź poniżej, aby rozpocząć

1. poradnik programisty do aplikacji internetowych Bezpieczeństwo
2. Testowanie Bezpieczeństwa Sieci Książka kucharska
3. Kryptografia Stosowana

Proszę zwrócić uwagę na następujące punkty podczas przechowywania haseł,

1. Zaszyfrowane hasło jest na ogół bezpieczniejsze, ponieważ nie musisz dochować tajemnicy. Uniemożliwia to jednak korzystanie z innych schematów opartych na hash w procesie uwierzytelniania. Na przykład nie można używać uwierzytelniania HTTP Digest z hashowanym hasłem.

2. Prosty hash jest podatny na Tęczowy attak tabeli ( http://en.wikipedia.org/wiki/Rainbow_table ). proszę dodać nonce do hasha lub użyj nonce jako klucza do HMAC. Nonce musi być przechowywany wraz z hasłami. Przygotowuję to do strawienia.

3. Jeśli używane jest szyfrowanie, upewnij się, że używany jest losowy Wektor początkowy, aby to samo hasło było szyfrowane do różnych szyfrów dla różnych użytkowników. W przeciwnym razie jesteś podatny na atak dopasowywania wzorców. MySQL ma wbudowane polecenie szyfrowania. Nie wstrzykuje IV, więc nigdy nie używaj go do haseł.

4. Zapisz nazwę/wersję klucza za pomocą tekstu szyfrowego więc klucze mogą być obracane. Rotacja klucza jest wymagana dla zgodności z pewnymi normami. Szyfrowanie bez kluczowych informacji jest niemożliwe do odszyfrowania, gdy jesteś zmuszony do zmiany lub obracania kluczy.

Jeśli zastosujesz się do tych wskazówek, Twoje hasła będą bezpieczne z dowolnymi schematami szyfrowania / hashowania.

Sprawdź Open Web Application Security Project. Mają wiele informacji na temat aktualnych problemów z bezpieczeństwem aplikacji internetowych i co musisz zrobić, aby się przed nimi bronić. OWASP opracowuje Development Guide, który dostarcza wielu dobrych informacji na temat problemów związanych z tworzeniem aplikacji internetowych i usług internetowych.

Jeśli patrzysz na to z kontekstu PHP, polecam tę książkę:

Alt text http://ecx.images-amazon.com/images/I/51sKhc8YUlL._BO2,204,203,200_PIsitb-sticker-arrow-click,TopRight,35,-76_AA240_SH20_OU01_.jpg

Pro PHP Security on Amazon

Najbardziej podoba mi się w tej książce to to, że obejmuje ona znacznie więcej niż tylko listę funkcji związanych z bezpieczeństwem w PHP. Duża część z nich obejmuje ogólne koncepcje bezpieczeństwa sieci i ochrony mechanizmy. Uprawnienia, zasada najmniejszych uprawnień, szyfrowanie, haszowanie, Skrypty cross-site, fałszowanie żądań cross-site, przechwytywanie sesji itp. wszystkie omówione są tutaj, z przykładami pisania bezpiecznego kodu w PHP.

Biorąc udział w zajęciach z bezpieczeństwa na studiach, jestem pod wrażeniem relacji w tej książce. Uznałbym to za lekturę wymaganą dla każdego profesjonalnego programisty PHP.

Najpierw musisz zapoznać się z tą metodą php:

• MD5
• SHA1

Tutaj masz wszystkie rozszerzenia kryptograficzne w PHP.