Gevoelige info, hoe beveilig ik dit?
Ik ben bezig met een systeem waarin gevoelige informatie opgeslagen word / gaat worden. Nu ben ik toch bang dat mijn manier van beveiligen niet volstaat.
Hoe kan ik het beste mijn login systeem en de beveiliging programmeren zodat het bijna onmogelijk is dit te hacken?
Mvg,
Wat heb je nu dan?
als je zeker wil weten dat het nooit gehackt mag worden moet je het niet op internet zetten.
bart van der veen schreef op 28.09.2008 17:39:
als je zeker wil weten dat het nooit gehackt mag worden moet je het niet op internet zetten.
Daar sta ik achter :)
Ik denk niet dat dit veel meerwaarde heeft ten opzichte van een goed sessie systeem op het HTTP protocol.
Of je maakt een systeem waar veiligheid nr1 is.
Een bank systeem bijvoorbeeld.
Gewijzigd op 01/01/1970 01:00:00 door Martijn B
bart van der veen schreef op 28.09.2008 17:39:
als je zeker wil weten dat het nooit gehackt mag worden moet je het niet op internet zetten.
Dit lijkt mij echt de beste oplossing!
Volledig hackvrij maken is uitgesloten op het internet.
Waarom moeten jullie alle drie hetzelfde zeggen :P?
Als je de data liever niet plat in de database hebt zitten, zou je de data kunnen versleutelen, php heeft daar een best groot leger functies voor. Alleen met het wachtwoord van de gebruiker en wat salt haal je dan de oorspronkelijke gegevens terug. Nadeel is dat de gebruiker verloren is wanneer hij z'n wachtwoord verliest, en jij niet data hebt waar je in zou kunnen zoeken.
Verder kan je je database nog wat dichttimmeren door de werkelijke data niet beschikbaar te maken voor de database account die PHP gebruikt, maar voor deze gebruiker alleen een aantal VIEWS toegankelijk te maken waarin je al een deel van de data verbergt die deze gebruiker nooit zal hoeven zien. Maar ook dit is maar zeer beperkt, want eigenlijk heb je geen verticale maar horizontale verberging nodig. Je wilt niet bepaalde kolommen ontoegankelijk maken, maar bepaalde rijen, namelijk alle rijen van andere gebruikers waar de gebruiker die is ingelogd niet bij zou mogen komen.
Beste oplossing: niet op internet zetten als het niet nodig is. (En niet op je weggegooide harde schijf laten staan, of op je verloren laptop. Althans, niet zonder een soort van beveiliging, bijvoorbeeld een truecrypt partitie)
Gewijzigd op 01/01/1970 01:00:00 door Jelmer -
Voor gevoelige info gebruik je uiteraard altijd een secure verbinding. Dus https.
Https is een goed idee, heb ik zelf nog niet aan gedacht. Er is echter wel 1 probleem : De ICT'ers die de server beheren van de locatie waarvanuit het gebruikt gaat worden zijn nogal paranoide. Ze vertrouwen niks en niemand, dus of https daar geactiveerd is weet ik niet.
ToySoldier schreef op 03.10.2008 15:01:
Https is een goed idee, heb ik zelf nog niet aan gedacht. Er is echter wel 1 probleem : De ICT'ers die de server beheren van de locatie waarvanuit het gebruikt gaat worden zijn nogal paranoide. Ze vertrouwen niks en niemand, dus of https daar geactiveerd is weet ik niet.
Dan zou ik juist verwachten dat het aanstaat...
Karl schreef op 03.10.2008 15:10:
Dan zou ik juist verwachten dat het aanstaat...
ToySoldier schreef op 03.10.2008 15:01:
Https is een goed idee, heb ik zelf nog niet aan gedacht. Er is echter wel 1 probleem : De ICT'ers die de server beheren van de locatie waarvanuit het gebruikt gaat worden zijn nogal paranoide. Ze vertrouwen niks en niemand, dus of https daar geactiveerd is weet ik niet.
Dan zou ik juist verwachten dat het aanstaat...
Inderdaad. Mijn idee ook.
Zijn er oplossingen dat ik het niet op het internet op hoef te slaan, maar dat je het via daar wel te beheren is? (Nee heb je, ja kun je krijgen :P)
Dus of je het op een externe server plaatst, of bijv. op je eigen PC'tje met een webservertje, en je wilt zo via internet iets kunnen beheren, dan heb je het gewoon op internet staan.
Internet is niet zomaar 1 server.
Dus het is niet zo dat als je 1 bestand niet op die ene server hebt, maar op je pc, dat het niet op internet staat.
Waar jij via internet bij kan, kunnen anderen het ook.
Ik zou haast zeggen misschien heb je hier iets aan:
http://www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp/
http://www.cbpweb.nl/