Προστατεύοντας τους λογαριασμούς των χρηστών ενάντια στο password sniffing

Πολλές web εφαρμογές της php έχουν προβλήματα ασφάλειας στους μηχανισμούς πιστοποιήσης τους.Η πιστοποίηση είναι η διαδικασία στην οποία η ταυτότητα του χρήστη αναγνωρίζεται από την εφαρμογή μέσω ελέγχου στο όνομα του χρήστη και στον κωδικό του.

Μία τεχνική λοιπόν που χρησιμοποιείται από χάκερς είναι το password sniffing.Είναι σημαντικό λοιπόν κάποιος που διαχειρίζεται κάποια ιστοσελίδα σε php να μπορεί να προστατέψει τους χρήστες του από την υποκλοπή των λογαριασμών τους. 

Η χρησιμοποιήση του SSL είναι ένας αποτελεσματικός τρόπος για να προστατευτούν τα περιεχόμενα των HTTP Requests και των απαντήσεων τους από την έκθεση σε χάκερς.Είναι η καλύτερη πρακτική η χρησιμοποιήση του SSL για την αποστολή των username και των password αλλά και για όλα τα άλλα requests που περιέχουν μία σύνοδο αναγνώρισης (session identifier) επειδή προστατεύει τους χρήστες και από το session hijacking.Επίσης οποιοδήποτε request που χρησιμοποιεί https είναι προστατευμένο ενάντια στο password sniffing.

Για να προστατευτούν λοιπόν οι λογαριασμοί των χρηστών από την έκθεση σε τρίτους η ακόλουθη τεχνική συνίσταται με την χρησιμοποίηση https και της ιδιότητας action:

<form action=»https://example.gr/login.php» method=»POST»>
    <p>Username: <input type=»text» name=»username» /></p>
    <p>Password: <input type=»password» name=»password» /></p>
    <p><input type=»submit» /></p>
    </form>
  

Η χρησιμοποίηση της μεθόδου POST συνίσταται σε φόρμες αυθεντικοποίησης διότι τα username και τα password των χρηστών είναι λιγότερο εκτεθημένα σε τρίτους σε σχέση αν χρησιμοποιούσαμε την μέθοδο GET. 

Σχολιάστε

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s

Αρέσει σε %d bloggers: