Udvikleren.dk - Seneste [sikkerhed] forum tr�de

Hvilken type firewall software?

Fri, 13 Apr 2018 14:49:01 GMT

Hej Udvikleren,

Vi bruger wordpress p� vores website, og jeg er interesseret i at h�re hvad andre her g�r ift. website sikkerhed. Har i eller eller planl�gger i at k�re firewall p� jeres website(s)?

For at g�re det enkelt for mig ift. at samle svarene op, har jeg lavet denne lille formular.

https://app.tabsurvey.com/qL2T2/default

H�ber at i vil hj�lpe os,

S�ger studerende p� it teknolog uddannelse (s�ger ogs� f�rdig uddannet)

Tue, 17 Jan 2017 20:47:19 GMT

Hej

Jeg vil fors�ge at komme ind p� It teknolog uddannelsen til sommer (hvis jeg f�r dispensation, jeg har ingen gym. uddannelse) og derefter (forh�bentlig) kunne f� dispensation til KU og l�se datalogi.

Jeg s�ger personer og f�rdig uddannet, som er/har i/har v�ret igang med it teknolog uddannelse, for at h�re om hvordan den uddannelse er strikker sammen og om det er muligt at f� job efter endt uddannelse?

Jeg vil tage netv�rkslinjen, hvis jeg kommer ind.

Jeg vil rigtig gerne ende med at arbejde med it sikkerhed, kryptering og netv�rk.

Sp�rgsm�l til it uddannelse -hvilken vej til PET

Thu, 24 Nov 2016 16:53:33 GMT

Godaften

Jeg har nogle sp�rgsm�l ang. uddannelse, som jeg h�ber at en eller flere kan hj�lpe mig med at f� besvaret.

Jeg har v�ret sl�v ang. uddannelse, s� jeg er kommet sent i gang. Jeg kunne godt t�nke mig at ende ud i et job hos PET inden for deres IT afd. Noget overv�gning/sporing/sikkerhed. F.eks. i deres cybercenter.

Jeg har kigget p� to uddannelser. Den ene er 'datalogi' - en bacheloruddannelse. Den anden er 'data og kommunikation med speciale i infrastruktur' - enerhvervsuddannelse.

Som jeg har forst�et det, s� er datalogi uddannelsen meget teoretisk - hvordan et computer system er bygget op, hvordan man programmere (ikke det prim�re med uddannelsen), strukturen i en computer. En uddannelse som er st�rkt pr�get af matematik.

Umiddelbart en tung og teoretisk uddannelse, som giver gode analytiske evener.

Uddannelsen 'data og kommunikation med speciale i infrastruktur' er meget mere praktisk og ikke n�r s� analytisk.

Sidder der folk som har en af overst�ende uddannelser eller begge uddannelser, s� m� I meget gerne give lyd fra jer?

Jeg er i tvivl om hvad jeg skal v�lge. Jeg kan godt lide matematik, som datalogi uddannelsen har meget af. Samtidig kan jeg godt lide at man er ude og f� erfaring, som data og kommunikation uddannelsen kan give en, i og med det er en erhvervsuddannelse.

Hvilken en uddannelse vil I mene appellerer mest til et job hos PET, hvis man kan s�tte det s�dan op?

Sikkerhed i webapplikation/website

Fri, 09 Jan 2015 17:54:24 GMT

Hej
Jeg har haft en diskussion med en r�kke af mine medstuderende om hvor vidt sikkerhedsbrister p� et website altid vil v�re relateret til serveren eller om en webapplikation i sig selv kan give adgang til filerne p� et website.
Min teori er at n�r datacenterets firewall, samt serverens indbyggede firewall kun tillader indg�ende trafik p� port 80 og 443 med hendholdsvis HTTP og HTTPS og serveren har en WAF s�som ModSecurity og de normale sikkerhedsting, s�som et eller flere sikkerhedsprodukter der beskytter serveren mod virus, spyware, malware, rootkits mv., s� vil st�rstedelen af de succesfulde angreb/sikkerhedsbrister p� et website v�re relateret til usikker eller ikke-opdateret programkode til enten websites kerne eller moduler/plugins.

Enkelte af mine medstuderende mener dog at uanset situationen, s� vil en sikkerhedsbrist p� et website altid skyldes serveren, da dennes sikkerhed simpelthen ikke er h�j nok.

Hvad mener I? Er det altid enten den ene eller den andens skyld, eller vil det v�re en mere delt sag, i forhold til at en server med samtlige frigivne sikkerhedspatches installeret, og et website p� denne server uds�ttes for et angreb?

H�ndtering af s�rbar data

Tue, 10 Dec 2013 18:08:23 GMT

Hej Udviklere, jeg har overvejet at lave en hjemmeside som kan h�ndtere backup af brugernes databaser.

Dette kr�ver selvf�lgelig at jeg har deres login informationer l�ggende i min database.
S� t�nkte jeg om det var tilstr�kkelig sikkerhed at gemme informationerne som krypterede data, alts� data der kan gendannes med en bestemt n�gle.
Alle brugere f�r tildelt en n�gle der ikke gemmes i en databasen, men beregnes ud fra nogle variabler som er unik for den p�g�ldende bruger.

Alt vil ske p� en side med gyldig SSL.

Er det sikkert nok?

Meebox password

Tue, 12 Nov 2013 18:17:05 GMT

Hej. Har oprettet mig hos meebox.

og ligger m�rker til at under fanen skift password, skriver dit mit nuv�rende brugernavn og password.

Her bliver jeg jo lidt nerv�s.

Er det ikke et sikkerhedshul, at de faktisk har mulighed for at vise mit nuv�rende password. burde det ikke v�re krypteret godt og grundigt. og v�re sv�rt at dekryptere, selv for meebox?

MVH Morten

Forbedre password p� siden

Mon, 08 Jul 2013 13:01:28 GMT

Hej

det er s�dan at jeg kunne godt t�nke mig at f� gjort sikkerhed bedre p� min siden.

lige nu bruger jeg sha1, jeg kunne godt t�nke mig at g�re det langt bedre end hvad det er lige nu.

Jeg synes s�dan her at det var d�rligt at g�re s�dan her - Se her

This section covers another common password hashing misconception: wacky combinations of hash algorithms. It's easy to get carried away and try to combine different hash functions, hoping that the result will be more secure. In practice, though, there is very little benefit to doing it. All it does is create interoperability problems, and can sometimes even make the hashes less secure. Never try to invent your own crypto, always use a standard that has been designed by experts. Some will argue that using multiple hash functions makes the process of computing the hash slower, so cracking is slower, but there's a better way to make the cracking process slower as we'll see later.

Here are some examples of poor wacky hash functions I've seen suggested in forums on the internet.

PHP kode

 md5(sha1(password))
 md5(md5(salt) + md5(password))
 sha1(sha1(password))
 sha1(str_rot13(password + salt))
 md5(sha1(md5(md5(password) + sha1(password)) + md5(password)))

er det ikke bare tag crc32 - Det ser meget sikkert ud eller hvad?

H�ber du kan hj�lp mig frem til at jeg f� gjort s�dan mere sikker p� password omr�de.

Det m� gerne v�re noget nemt kode alts� gerne s�dan noget jeg kan hente et stede

Jeg arbejder med database.

Password sikkerhed

Tue, 23 Apr 2013 13:03:00 GMT

Hej Udviklere

Jeg har fors�gt at lave en password hash, men er usikker p� om den er god nok.

PHP kode

 <?php
 function secure( $password )
  {
     $salt = "f89WF456aSw";
     $pepper = "S9dwWA8s5464od";
  
     return hash("sha512", $salt . $password . $pepper);
  }
   echo secure($_POST[kode]);
  ?>

Hash p� password

Fri, 16 Nov 2012 12:10:13 GMT

Hej

Jeg kigger lige tilbage til en tidlig tr�de her p� siden.
http://www.udvikleren.dk/forum/39024/sha256-vs-sha512/

Det er s�dan at jeg kun godt t�nke mig at g�re s�dan at min siden ikke kun er p� sha1. men dog er lidt mere sikker til at log in og mange andre ting.

Nu pr�ve jeg lave et f.eks.

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = sha1($hash);//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

eller skal jeg g�re det p� den her m�de?

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = $hash;//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

Det er bare s�dan at jeg kun godt t�nke mig at forbedre min kode og brugers kode over for sikkerheden da jeg mener klart det er utrolige vigtigt tid i dag.

h�ber du kan hj�lp mig videre eller vejledning mig videre til at det kan blive godt og sikkert.

Skriver en API i PHP. Mangler lidt id�er

Thu, 01 Nov 2012 07:43:08 GMT

Hejsa.

Okay jeg sidder p� 5. semester p� datamatikerstudiet, og har f�et den lidt alternative id� at jeg vil skrive min egen API.

Jeg har allerede udviklet et lille Backoffice/ERP - i PHP vel at m�rke. Alting er derved webbaseret.

Den f�rste id� er at eksterne udviklere skal have mulighed for at kode op i mod min/vores API, s�ledes at de kan tr�kke og skrive data fx via SOAP. Det er der en masse gode sikkerhedsaspekter i, til rapporten. Denne del tror jeg at jeg har nogenlunde p� plads.

Min anden id� er at give eksterne udviklere mulighed for at lave et modul der installeres p� vores server. Og jeg havde t�nkt mig at s�dan et modul tog afs�t i en klasse, der skal implementere et interface der ligger hos os, derudover en valideringsproces der ogs� er bundet op p� nogle kontrakter. S� kunne min Controller (bruger MVC) validere dette modul og eksekvere det, alts� indefra.

Sp�rgsm�let er s�:
- Giver det overhovedet nogen mening, fordi det eksternt udviklede indhold vil jo f� adgangs til alle sessionsvariabler - Det er jeg ikke interesseret i !
- Hvordan kan jeg k�re denne klasse "myModule implements iModule", og s�rge for at den er fuldst�ndigt enkapsuleret?
- Kan man k�re en funktion med begr�nsede rettigheder eller lidt "sandboxed" i PHP 5?
- Er der andre aspekter jeg overser? (Det er der helt sikkert)

Alternativet er selvf�lgelig kun at tillade at et modul indeholder noget kode Controlleren selv decoder og forst�r. Noget hjemmelavet XML-agtigt fx.

Edit: Modulerne ligger p� vores PHP server som en del af viewet. Og k�res derfra, derfor f�r de som udgangspunkt fulde rettigheder.

P� forh�nd tak

Hj�lp til l�sning af filer??

Thu, 11 Oct 2012 11:50:51 GMT

Jeg har lavet en masse Excel skabeloner til unge i gymnasielle uddannelser. alts� HHX, STX og HTX. Ideen er at jeg vil s�lge dem til studerende som har sv�rt ved Matematik og kan ved hj�lp af disse redskaber komme igennem skriftlig eksamen med best�et karakter.

Problemet er nu at jeg skal finde en m�de at sikre p� at jeg kan s�lge mere end en cd, og s� kan de bare kopiere filen til resten af skolen. Jeg vil s�lge filen p� en cd, og ideen er at man skal have cd'en i f�r man kan �bne dokumentet.

Nogle der ved, eller kan hj�lpe med denne problemstilling? Jeg vil meget gerne h�rer n�rmere hvis du enten ved eller kender en som ved hvordan man kan sikre mit fremtidige salg af disse cd'er.

Venlig hilsen

Jeppe Andreasen

50949612

jeppe_g_andreasen@hotmail.com

IT og sikkerhed - B�ger?

Sat, 18 Aug 2012 18:03:42 GMT

Hej Udvikleren.

Jeg har et forum (Surprise - eller not??), s�dan et ganske standart phpBB3.0.10 forum, som alle kan installere.

Lige pt er det lidt d�dt, og jeg overvejer at lokke lidt brugere til som er interesseret i at l�re fra sig om sikkerhed, osv.

Derfor kunne jeg godt finde p� at k�be nogle b�ger hjem om fx. Brute Force, InJuries (Stav??) og hvordan man nu ellers bryder websites sikkerhed, og ikke mindst, hvordan man forbedre den (S� man kan beskytte sig imod de der kedelige Crackere)

S� derfor tager jeg imod en masse info om b�ger som jeg kan k�be hjem, og bruge til premier til brugerne som jeg forh�benligt f�r ind p� siden stille og roligt.

H�ber ikke folk ser det som hijacking af personer for at f� et stort ondt friheds brydende hjemmeside op og k�re, men, som et site der gerne vil l�re folk at beskytte sig imod de onde (Black Hats)

H�ber p� at f� nogle forslag.
Tak

Problemer med login form

Fri, 13 Jul 2012 12:40:44 GMT

Hej.

Jeg har et login script som f�r har virket, men nu virker det pludselig ikke.
N�r jeg pr�ver at logge ind giver den mig f�lgende fejlmeddelelse:

"Fatal error: Call to a member function real_escape_string() on a non-object in dom�ne/login.php on line 14"

Jeg har f�lgende kode:

PHP kode

 <?php
 include('../includes.php');
 session_start();
 if(isset($_POST['submit']))
 {
     $user = $_POST['username'];
     $password = $_POST['password'];
     if((empty($user)) || empty($password))
         {
             echo 'Fejl';
         }
         else{
             $user = strip_tags($user);
             $user = $db->real_escape_string($user);
             $password = strip_tags($password);
             $password = $db->real_escape_string($password);
             $password = md5($password);
             $query = $db->query("SELECT user_id, username FROM user WHERE username='$user' AND password='$password'");
             if($query->num_rows ===1)
             {
                 while($row = $query->fetch_object())
                 {
                     $_SESSION['user_id'] = $row->user_id;
                     $_SESSION['username'] = $user;
                 }
                 header('location: index.php');
                 exit();
             }
             else
             {
             echo 'fejl';
             }
             }
 }
 ?>

Bare lige for en god ordens skyld f�r I ogs� min formel:

HTML kode

 <form action="login.php" method="post">
     <p>
     <label>Username:</label><input type="text" name="username" />
     </p>
     <p>
     <label>Password:</label><input type="password" name="password" class="input"  />
     </p>
     <input type="submit" name="submit" value="log ind" class="button"/>
     </form>

Jeg h�ber at I kan hj�lpe med at l�se problemet.

Tak!

ddos sikret hosting

Sat, 23 Jun 2012 19:35:34 GMT

Hej Alle!

Jeg har k�bt mig en VPS til at hoste webside, mysql server ,mail mm
men jeg bliver konstant angrebet af ddos er der ikke nogle der kender et hosting firma der er rigtig godt sikret mod den slags da jeg helst ikke �nsker at have en server der konstant er offline.

Jeg tror angrebet er mellem 15 og 20gbps men det er ret sv�rt at sige da det jo ikke rigtig kan ses p� trafik forbruget eftersom serveren f�r timeout.

P� forh�nd tak!

.net 4.0 sikkerheds issue

Thu, 03 May 2012 08:25:42 GMT

Jeg har en Windows Service som er opgraderet fra .net 3.5 til 4 og nu har jeg et problem n�r det rulles ud p� andre servere.

Den kommer med f�lgende fejl: http://i47.tinypic.com/1rbryb.jpg og .exe filen er blokeret af systemet. Det er helt sikkert en ny "ting" i .net frameworket men giver mig nogle problemer.

Jeg klikker selvf�lgelig bare "unblock" inden jeg installerer p� en ny server, men mit sp�rgsm�l er nu om .exe filen ikke kan authentifikeres p� forh�nd s� den ikke blokeres p� fremmede systemer?

Check for SQLi eller XSS

Sat, 14 Apr 2012 13:12:04 GMT

Jeg har brug for nogen til at tjekke min hjemmeside for SQLi eller XSS s�rbarheder.

Her: http://heavyworld.org

Sp�rgsm�l vedr�rende SQL injection

Tue, 10 Apr 2012 14:56:25 GMT

Hej.

Jeg har kigget lidt p� SQL injections. Mit sp�rgsm�l er, om der ikke skal mere end

PHP kode

 /* $variabel og $_POST['variabel'] kan vel være en hvilken som helst variabel, som bliver sendt fra en formular, som anvender post som metode... */
 $variabel = $_POST['variabel'];
 
 mysql_real_escape_string($variabel)

til at beskytte mod SQL injections. Jeg tror nemlig godt, at jeg kan bruge SQL injections p� min egen hjemmeside og p� den m�de komme ind p� admin brugeren. Sandsynligvis ikke p� hosten, men p� det logind system, som jeg har lavet.

P� forh�nd tak for svaret/svarne .

Session sikkerhed

Thu, 29 Mar 2012 20:37:08 GMT

Hej Alle.

Har s�gt lidt herinde, men den tr�d jeg kunne finde der mindede mest om mit sp�rgsm�l var over 2 �r gammel, og imellem tiden kan der jo v�re sket en hel masse:-)

Mit sp�rgm�l er:
Vi benytter os af sessions til vores bruger login, dvs. n�r en bruger logger ind, s� gemmer vi hans bruger id og hans rettigeheder (administrator, alm user) i sessionen.

Er der noget vi skal v�re opm�rksom p� mht. sikkerhed og hvordan beskytter vi os bedst?

Hvis nogle havde nogle gode forslag ville det v�re rart(guides, s�geord m.m), for har s�gt meget p� nettet, men der er simpelthen s� mange ting man kan g�re, s� det jeg er ude efter er nogle ting, som man simpelthen skal huske, ligesom man ikke sender person f�lsom data med en GET men med en POST..

Er i, i tvivl om noget, s� bare r�b h�jt:-)

Mvh og p� forh�nd tak.

Andreas

Sikkerhedshuller

Sun, 18 Mar 2012 12:14:23 GMT

Hej,

P� en af mine sider er jeg blevet gjort opm�rksom p�, at der er nogle "XSS og html parameter pollution huller"

Jeg har pr�vet og s�ge p� google, og jeg kan ikke finde ud af, hvad det betyder, og hvor alvorligt det er. Nogle der ved det?

Hvordan sikrer jeg alt p� min webserver med kodeord og bruger?

Sun, 05 Feb 2012 17:09:39 GMT

Hej,

Jeg skal til at lave en version 2, af et system, og i den forbindelse skal alle siderne, inkl. mappe osv. sikres med brugernavn og kodeord.

Er der en smart m�de at g�re det p�, hvor jeg ikke skal ind i hver enkelt fil og s�tte sikkerhed p�?

T�nkte p� noget .htacces, via. s�gninger p� google mm., er det ikke lykkedes mig, at finde noget brugbart.

H�ber en kan hj�lpe.