[問題] 保護購物車系統的資料

看板toberich作者flamerecca (werewolf)時間11年前 (2013/01/26 02:04)推噓6(6推 0噓 2→)

留言8則, 7人參與討論串1/2 (看更多)

首先雖然我自己是資工系畢業但是不表示我在資工上面的想法一定正確這都還是可以討論的希望可以引發大家的討論從中思考與學習 ========= 實務上來說對不大會寫程式的人最安全的作法個人認為反而是買購物架站的程式為什麼？因為多人用的程式安全性修改越快而且不容易犯下一些明顯的錯誤（像是直接把密碼存在資料庫裡面... 我真是看過不知道多少人搞過）至於有些人擔心的不是常常有這些套件出錯上新聞的事情發生嗎？我的認知如下：去王品吃東西吃到拉肚子是個新聞自己煮東西吃到拉肚子還不很值得上新聞哩 ==================== 以下解釋一般討論此區塊時安全性的作法基本原則如下 1. 檢查所有使用者輸入進來的資料使用者輸入的資料都要被視為是不安全的他會不會在該是密碼的地方寫點程式碼結果你的資料就抓光光了？還是他一丟超長字串進來你的網頁就死當了？認真想想你的密碼應該限制是多少（很愚蠢的也沒關係像是限制1 ~ 1000字之間電腦有可能出現比你想像更愚蠢的事情例如沒有密碼也可以結果會員一點錯就被盜用了） 2. 密碼不要使用明文存取請不要傻傻的要求你的程設做「當會員失去密碼時申請把密碼寄回給會員信箱」的功能這不難做只是你的資料庫要嘛存的是密碼明文要嘛存的是很容易逆向出來的加密而這一些當你的資料庫被盜用的時候都是巨大的問題（假設你的會員喜歡連銀行帳戶都用同樣的密碼那你的麻煩就更大了）正確的作法一直都是（概念上）存密碼的hash 例如說sha1之類的 (聽說這也不夠安全了我可能還要找一下資料但是這種不安全都比起存明文安全的多) 至於有人提過所謂字典檔攻擊這意思如下 hash的概念是即使這函數你看不出輸入跟輸出的關係但是如果你丟進去的東西相同他一定會跑一樣的輸出所以你的使用者帳密 aa:1234 的話資料庫是存aa:sha1(1234) 這樣就安全多了因為sha1(1234) 推不回去1234 不過想攻擊的人可以做個方法就是跑sha1 做各種可能的密碼與他sha的對照表這樣的話如果他剛好跑過1234 就能比對出密碼了一般解決這問題的方法是前後加點文字既然使用者都亂用密碼那我幫你前後加上固定字串也就是說使用者帳密 aa:1234 資料庫存aa:sha1(asdf1234asdf) 當使用者登入的時候程式比對時前後加上asdf就好了這樣即使攻擊者拿到sha1(asdf1234asdf) 他也很可能沒想過跑這個密碼所以無法破解這個的比較專業說法是加上salt 有點像是加點鹽的感覺XD ============ 對已經瞭解程設的人大家可以討論看看我喜歡的作法如下： USER_NAME: 做sha1(USER_NAME + USER_PASS + SALT) 然後這段字串重複(加salt > sha1)的步驟 rand(USER_NAME) % 3次（如果覺得做rand花時間可以做一次之後就存進DB裡面）以上供參考XD -- 色如聚沫一切有為法如夢幻泡影受如水泡想如陽燄如露亦如電應作如是觀 - 《金剛經》行如芭蕉是故空中無色無受想行識 - 《心經》識如幻事 - 《雜阿含經歡迎加入佛教板Buddhism及漢傳實修板Learn_buddha -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.36.225.141 ※ 編輯: flamerecca 來自: 114.36.225.141 (01/26 02:05)

推

coburn

01/26 02:33, , 1^F

01/26 02:33, 1^F

沒耶該死的當天睡著了回來只能看截圖不勝唏噓

推

LaPass

01/26 02:51, , 2^F

01/26 02:51, 2^F

→

LaPass

01/26 02:52, , 3^F