Vi bruger ikke pop-up reklamer, og de få reklamer der vises hjælper til at betale for sitets drift. Som medlem kan du desuden tjene points, og bruge dem på at fjerne reklamerne.
Du behøver ikke bruge informationer fra eks. Facebook på siden. Du kan nøjes med bare at kæde login sammen med techstart brugeren som Stig nævner, og så udelukkende have med FB at gøre idet der logges ind. Resten af brugerne kan ikke se forskel på om jeg logger ind hos techstart, hos OpenID, hos Facebook, eller whatever.
Du kan så, så vidt jeg ved, vælge om du vil gøre det muligt for folk at bruge informationerne på eks. Facebook i deres techstart profil, så deres avatar bliver deres facebook profilbillede og i den dur.
Bug: Når jeg retter mit indlæg sendes jeg til tråd#21 istedet for tråd&side=2#21. Jeg kan ikke huske opbygningen, men går ud fra at du forstår pointen. :P
Jeg er enig med Jakob - intergration med f.eks. FB er noget lort. De ved rigeligt om mig i forvejen og jeg underlader konsekvent at bruge sites hvor jeg skal logge ind med FB/Gmail.
I øvrigt (og undskyld Jakob) er det her jo det perfekte argument hvorfor man skal have forskellige kodeord til forskellige sider. Et eller andet sted bruger du en side hvor sikkerheden er endnu lavere end det Jakob har gjort - og hvis, nej når, en hacker så finder dit kodeord, - så må det altså ikke give adgang til din netbank, din gmail, din arbejdsplads etc.
#23 Nej, - hvad andre gør rager ikke mig. Det er fint at man kan logge ind med sin Visa-kort. Men jeg kommer _ALDRIG_ til at gøre det. (Ja, jeg ved godt at jeg overdriver, håber ikke du tager det som en fornærmelse, det var ikke det der var meningen).
Jakob: Grunden til at du bruger MD5(SHA1(MD5(... er at undgå at folk bruger regnbuetaller, right? Den rigtige løsning til det er at bruge salt - som også er foreslået andre steder.
Gør du det så giver det stort set ikke ekstra at bruge din metode. Dog vil jeg selv bruge mindst 2 typer, - da der til stadighed findes fejl i hashkoder. Så MD5(SHA1(SALT + password)) vil være et rigtig godt bud. Jeg har ikke fulgt helt godt nok med, - men det lyder til at der er problemer med både MD5 og SHA1, - så måske der findes nyere algoritmer.
Derudover vil jeg lave et felt i databasen til kodeords-algoritme. Sådan at du kan skifte din krypterede kodeord så snart folk logger ind uden at forstyrre resten (ikke noget med at man skal skifte kodeord eller logge ind i en given periode). For før eller siden vil du eller andre finde ud af at den måde du har krypteret dine kodeord alligevel ikke var så god (typisk vil der komme en nyhed om at en eller anden fiks hacker har fundet en måde at dekryptere SHA1 på et split-sekund).
Nå ja og som andre allerede har foreslået bør du bruge https - i hvert fald på login siden. Der findes måder at kryptere kodeordet på med f.eks. javascript inden det sendes, - men det er ikke optimalt.
"Denne fremgangsmåde er valgt, så selve kodeordets repræsentation i databasen, aldrig kan sammenlignes med selvsamme kodeord fra et andet websites database."
Brug salt, - individuelt for hver bruger.
"Hackes og stjæles hele databasen herfra, får folk ganske vist ukrypterede e-mailadresser og brugernavne, men kodeordene kan de ikke bruge til noget. Det er umuligt at brute force en dekryptering uden at kende både typerne, sekvensen og encryption strengen (der iøvrigt er en hel sætning som igen - kun jeg kender)."
Tjaeh ret beset kender dit website vel også sætningen. Og hvis nogen har hacket det er det sandsynligt at de også gør. I øvrigt kunne du XOR'e folks email adresser med et "hemmeligt" kodeord eller med et individuelt SALT eller begge dele. Ret beset gør det ikke ret meget, - for hvis nogen får adgang til din database har de i hvertfald SALT og de har sikkert også adgang til resten af sitet - og dermed også dit "hemmelige" kodeord. Men det gør det i det mindste en smule vanskeligere for dem.
"Af selvsamme grund kan jeg aldrig gensende jeres kodeord til jer. Jeg kan blot tilbyde at nulstille dem til noget andet."
Hvilket er træls, men en nødvendighed. Sådan er det vidst heldigivs alle steder i dag.
Derudover er https ved at blive testet - i første omgang på mit www.pxo.dk - hvor det ser ud til at virke stabilt uden at have større indflydelse på performance (omvendt har sitet omkring 50 daglige besøgende, modsat TechStart der er ved at ramme 900 daglige besøgende). :)
Når https kommer her på TechStart, vil jeg indføre det site-wide.
Når du bruger password_hash er der i den streng du får tilbage (op til 255 karakterer) indbygget random sikkert salt og den er hashet. Du har mulighed for at sætte en "cost" parameter (PASSWORD_DEFAULT er lige nu bcrypt) og du har mulighed for automatisk at opgradere dine brugeres passwords når f.eks. PASSWORD_DEFAULT algoritmen skifter.
Blot til info - så er https (SSL) indført nu her. :)
Omkodet login vil blive kigget på i weekend'en. Tror ikke jeg får tid i dag desværre - men muligvis i morgen. Bemærk; når det sker skal alle brugere formentligt lave nyt kodeord (kan godt være lig med det gamle).
Det er netop derfor jeg vil have at du skal have et generationsnummer ind. Så opgraderes brugeren helt automatisk når han logger ind - efter en ændring.
@Jakob du spørger jo bare hvis du render ind i et eller andet.. også evt. kodereview. Jeg er helt sikker på at vi er nogle stykker der alligevel ikke har ret meget andet at tage os til.
Jeg er nu ganske glad for at mit spørgsmål endte med bedre sikkerhed. :-) I sidste ende er kodeordssikring ikke så vigtigt for mig grundet KeePass, men det er generelt bedre for både brugerne og ejeren af siden.