super-admin "vast zetten" ?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: 1 2 3 volgende »

Ozzie PHP

Ozzie PHP

28/04/2014 21:28:41
Quote Anchor link
Hey guys,

Even een vraagje tussendoor. Ik wil een soort "super-admin" account maken, waarmee ik bijv. andere gebruikers (admins) e.d. wil kunnen aanmaken en websites wil kunnen activeren en deactiveren. Nu zat ik te denken... moet ik de inloggegevens voor zo'n super-admin in de database zetten? Of kan ik de inloggegevens beter hard-coded (als een hash) programmeren?

Als ik het hard-coded doe, dan kan ik het wachtwoord dus niet (via een cms) veranderen, maar tegelijkertijd betekent dat ook dat een hacker mijn wachtwoord niet kan veranderen.

Wat zijn voor- en nadelen om de logingegevens van een "super-admin" hardcoded in te stellen, en wat zijn voor- en nadelen om de logingegevens in de database te zetten?
 
PHP hulp

PHP hulp

23/11/2024 05:52:32
 
- Ariën  -
Beheerder

- Ariën -

28/04/2014 21:40:21
Quote Anchor link
Gewoon een eigen role/usergroup geven, lijkt me?
 
Ozzie PHP

Ozzie PHP

28/04/2014 21:44:48
Quote Anchor link
Een super-admin kan en mag alles, dus die hoeft geen aparte role te krijgen.

Een super-admin staat los van de overige admins. Waar het mij om gaat is of ik de inloggegevens hardcoded zal programmeren, of dat ik ze in de database zal zetten. Heeft het een voor- of nadelen ten opzichte van het ander?
 
- Ariën  -
Beheerder

- Ariën -

28/04/2014 21:53:28
Quote Anchor link
In de database zetten, en flaggen als 'invisible'.
 
Ozzie PHP

Ozzie PHP

28/04/2014 21:59:04
Quote Anchor link
>> flaggen als 'invisible'?

Dat is nieuw voor mij... wat houdt dat in?
 
Ger van Steenderen
Tutorial mod

Ger van Steenderen

28/04/2014 22:05:03
Quote Anchor link
>>Een super-admin kan en mag alles, dus die hoeft geen aparte role te krijgen.

Is dat niet apart dan?

Wat mij opvalt is dat je andere in topics alles wilt generaliseren, maar nu juist waar het wel kan het niet wilt doen?
Gewijzigd op 28/04/2014 22:09:39 door Ger van Steenderen
 
Frank Nietbelangrijk

Frank Nietbelangrijk

28/04/2014 22:06:08
Quote Anchor link
Een 'flag' is een andere term voor een boolean. TRUE or FALSE dus.
 
- Ariën  -
Beheerder

- Ariën -

28/04/2014 22:08:41
Quote Anchor link
Ozzie PHP op 28/04/2014 21:59:04:
>> flaggen als 'invisible'?

Dat is nieuw voor mij... wat houdt dat in?

In dit geval als onzichtbare gebruiker. Dat lijkt me wel handig, en dan ook eentje die niet via de admin zomaar per ongeluk (of bewust) verwijderd kan worden.
 
Ozzie PHP

Ozzie PHP

28/04/2014 22:26:31
Quote Anchor link
Ah op die manier...

Maar wat vinden jullie van het idee om een heel sterk wachtwoord hardcoded in te stellen, zodat de logingegevens niet in de database staan en een kwaadwillende deze dus nooit kan aanpassen (waardoor je er zelf niet meer in kan)?
 
Ger van Steenderen
Tutorial mod

Ger van Steenderen

28/04/2014 22:34:01
Quote Anchor link
Wat garandeert dat als een kwaadwillende toegang heeft tot jouw database, deze geen toegang heeft tot jouw php code?
 
Ozzie PHP

Ozzie PHP

28/04/2014 22:38:48
Quote Anchor link
Goed punt Ger. Geen idee... ik hoop natuurlijk dat ie tot geen van beide ooit toegang krijgt. Overigens al zou ie in de code kunnen, dan is het wachtwoord gehasht. Maaaar... als ie in de code kan komen dan ben ik waarschijnlijk sowieso al de pineut.

Maar de gedachte is dus... stel dat iemand toch op de een of andere manier je database hackt, dan kan hij niet het super-admin wachtwoord wijzigen. Dat was dus mijn vraag... Zou het extra veiligheid bieden als ik het wachtwoord hard-coded opsla?
 
Ger van Steenderen
Tutorial mod

Ger van Steenderen

28/04/2014 22:43:07
Quote Anchor link
Het antwoord is simpel: JA
Maar...
Ga je in een bomvrije kelder wonen omdat er ooit eens een bom kan vallen?
 
Ozzie PHP

Ozzie PHP

28/04/2014 22:48:48
Quote Anchor link
>> Het antwoord is simpel: JA

Oké... ik had eigenlijk dus verwacht dat je nee zou gaan zeggen, omdat ik dacht dat de redenatie zou zijn dat je via een cms makkelijker je wachtwoord kunt wijzigen, en het in de praktijjk dus ook vaker zult wijzigen wat het voor hackers moeilijker zou maken. Ik had dit antwoord dus eigenlijk helemaal niet verwacht. Dus eigenlijk ben ik best een beetje verrast...
 
Willem vp

Willem vp

29/04/2014 00:24:22
Quote Anchor link
Ozzie PHP op 28/04/2014 22:48:48:
Oké... ik had eigenlijk dus verwacht dat je nee zou gaan zeggen, omdat ik dacht dat de redenatie zou zijn dat je via een cms makkelijker je wachtwoord kunt wijzigen, en het in de praktijjk dus ook vaker zult wijzigen wat het voor hackers moeilijker zou maken.

Als je je wachtwoord vaak wijzigt, is de kans groter dat je het wijzigt in een zwak wachtwoord, omdat je het ook nog moet zien te onthouden. Eigenlijk maak je het daardoor dus juist gemakkelijker voor hackers. Een soort password-paradox.

Maar evengoed zou ik het wachtwoord in een database opnemen. Als het een programma is dat je alleen zelf gebruikt maakt het niet zoveel uit, maar als het ooit eens door anderen gebruikt gaat worden, is het wel fijn als je niet overal hetzelfde master password hebt. Over onveilig gesproken. ;-)
Gewijzigd op 29/04/2014 00:25:23 door Willem vp
 
Ozzie PHP

Ozzie PHP

29/04/2014 00:32:38
Quote Anchor link
>> Als het een programma is dat je alleen zelf gebruikt maakt het niet zoveel uit, maar als het ooit eens door anderen gebruikt gaat worden, is het wel fijn als je niet overal hetzelfde master password hebt. Over onveilig gesproken. ;-)

Dat klopt... als je het master-password in handen hebt, zou je andere sites kunnen beïnvloeden (bijv. activeren en deactiveren). Maar dit kun je toch niet voorkomen lijkt mij? Tenminste... ik zou niet echt weten hoe eerlijk gezegd. Ja, ik zou kunnen zorgen dat je alleen vanaf mijn IP kunt inloggen... maar daarmee beperk ik mezelf ook weer...
 
Willem vp

Willem vp

29/04/2014 01:44:15
Quote Anchor link
Ozzie PHP op 29/04/2014 00:32:38:
Dat klopt... als je het master-password in handen hebt, zou je andere sites kunnen beïnvloeden (bijv. activeren en deactiveren). Maar dit kun je toch niet voorkomen lijkt mij?

Ja hoor, gewoon ervoor zorgen dat niet elke site hetzelfde master password heeft. ;-)
Bijvoorbeeld door de administrator bij installatie of eerste inlog een superadmin-password te laten kiezen. Daar zou je desnoods extra eisen aan kunnen stellen (bijvoorbeeld een minimumlengte van 12 tekens of zo). Maar dan uiteraard ook weer niet zoveel eisen dat het wachtwoord op een geel briefje aan de monitor wordt geplakt.
 
Ivo P

Ivo P

29/04/2014 08:36:02
Quote Anchor link
Gebruik je trouwens wel ssl voor je site?

Zou jammer zijn als je 256 tekens lange sterke password gewoon uit de wifi lucht te plukken is in plain text
 
Ozzie PHP

Ozzie PHP

29/04/2014 08:41:35
Quote Anchor link
>> Ja hoor, gewoon ervoor zorgen dat niet elke site hetzelfde master password heeft. ;-)

Ja, dat snap ik :) Maar ik bedoel... als je het "über-password" weet, dan kun je alles platgooien. Bijv. stel iemand weet mijn password, dan kan ie bijv. alle sites op de server uitschakelen. Maar volgens mij ontkom je daar niet aan. Als iemand de inloggegevens van de server achterhaalt, is het ook einde verhaal. Ik zou niet weten hoe je dat zou moeten voorkomen.

>> Gebruik je trouwens wel ssl voor je site?

Nee, nu nog niet. Als ik zover ben, dan wil ik dat wel gaan doen inderdaad. Vanaf welke lengte praat je overigens over een "sterk" wachtwoord? Jij hebt het nu over 256 tekens, maar dat kan ik toch echt niet onthouden :)
 
Davey Mat

Davey Mat

29/04/2014 09:21:26
Quote Anchor link
Ik sla mijn wachtwoorden meestal op in een beveiligd database programmaatje. Zie bijv: http://passwordsafe.sourceforge.net/
Nu kan ik mijn wachtwoorden zo lang maken als ik wil, zonder ze te vergeten of helemaal te gaan overtypen etc.
256 tekens is moeilijker te raden dan 128 tekens, maar alles valt natuurlijk te raden en te hacken..

Hoeveel betaal je nou eigenlijk voor ssl? Ik kom ze vaak tegen rond de 300 euro per jaar, is dat een normale prijs?
 
Ozzie PHP

Ozzie PHP

29/04/2014 09:33:31
Quote Anchor link
@Davey:

Gebruik jij dan wachtwoorden van 256 tekens om in te loggen in een website?

>> Hoeveel betaal je nou eigenlijk voor ssl? Ik kom ze vaak tegen rond de 300 euro per jaar, is dat een normale prijs?

Ik heb ze goedkoper gezien. Volgens mij zit er wel verschil in de mate van encryptie, en ik geloof ook dat ze niet allemaal een gekleurde balk geven. Sommigen geven alleen een slotje, en anderen geven ook zo'n gekleurde balk.
 
Ward van der Put
Moderator

Ward van der Put

29/04/2014 09:44:41
Quote Anchor link
Er zijn drie soorten SSL-certificaten: Domain Validation (DV), Organization Validation (OV) en Extended Validation (EV). Hoe uitgebreider de validatie, hoe duurder het SSL-certificaat. Met de sterkte van de encryptie heeft dat weinig te maken, maar meer met de controles die de CA (Certificate Authority) uitvoert.
 

Pagina: 1 2 3 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.