Se7enKeNz
สมุนแก๊งเสียว
พลังน้ำใจ: 31
 ออฟไลน์
กระทู้: 584
|
 |
« เมื่อ: 23 พฤศจิกายน 2009, 18:12:03 » |
|
ตามหัวข้อเลยครับ อยากได้มากๆเลยครับ แบบปลอดภัยที่สุด โดนแฮคยากที่สุดอะครับ  |
|
|
|
|
บันทึกการเข้า
|
|
|
|
TAXZe
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 446
ออฟไลน์
กระทู้: 4,005
|
|
« ตอบ #1 เมื่อ: 23 พฤศจิกายน 2009, 18:14:02 » |
|
ฟอร์มที่เหมือนๆ phpmyadmin น่ะ น่าจะปลอดภัย |
|
|
|
|
บันทึกการเข้า
|
|
|
|
Reality
สมุนแก๊งเสียว
พลังน้ำใจ: 51
ออฟไลน์
กระทู้: 757
|
|
« ตอบ #2 เมื่อ: 23 พฤศจิกายน 2009, 18:21:31 » |
|
ฟอร์มที่เหมือนๆ phpmyadmin น่ะ น่าจะปลอดภัย ประมวลผลเหมือนทั่วๆ ไปครับ ให้ผลไม่ต่างกันเลย  |
|
|
|
|
บันทึกการเข้า
|
|
|
|
icez
Verified Seller
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 296
ออฟไลน์
กระทู้: 2,879
|
|
« ตอบ #3 เมื่อ: 23 พฤศจิกายน 2009, 18:26:36 » |
|
paypal ก็ html form ธรรมดานะครับ
แค่จับใส่ https แค่นั้นเอง
|
|
|
|
|
บันทึกการเข้า
|
THZHost  SSD Hosting ไทย/สิงคโปร์ พร้อม firewall ป้องกันการยิงเว็บ + scan ไวรัสในเว็บ
|
|
|
ball6847
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 212
ออฟไลน์
กระทู้: 4,174
|
|
« ตอบ #4 เมื่อ: 24 พฤศจิกายน 2009, 09:26:02 » |
|
ไม่ค่อยรู้เหมือนกัน คิดว่าคงอยู่ที่จุดอื่นๆของเว็บด้วยแหละ เพราะมันไม่ได้แฮ็คได้แค่ทางการล็อกอิน อย่างถ้าโดน xss แล้วทุก user รวมทั้ง admin ถ้าเปิดไปหน้าที่โดน xss มีโอกาสโดนบุกเข้าไป user area ได้หมด
ยังมีกรณี sql injection ที่สามารถ bypass การเช็ค password ได้ (เกิดจากที่รับ input เข้าไปยัดสดใน query)
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
woratana
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 178
ออฟไลน์
กระทู้: 2,283
|
|
« ตอบ #5 เมื่อ: 24 พฤศจิกายน 2009, 23:40:43 » |
|
เรื่อง Injection น่าจะรอดถ้า mysql_real_escape พวก String ทั้งหลายก่อนเอาไปใส่ Query ครับ ไม่ก็ใช้เทคนิคที่เรียกว่า Binding ซึ่งเป็นการต้ั้ง query ขึ้นมาก่อน แล้วเหลือช่องใส่ Argument เอาไว้ จากนั้นค่อยเขียนอีกบรรทัดใส่ Argument เข้าไป (อันนี้ลองไปหาอ่านดู ผมเขียนอธิบายอาจไม่เข้าใจ ) ส่วนเรื่องการขโมย Cookie ก็แก้ด้วยการใช้ https ซะ ไม่ก็ใช้วิธีที่เรียกว่า session cookie ถ้าขี้เกียจเขียนเองก็ลองไปหยิบ ๆ หา Framework มาใช้ครับ สะดวกดี  (ขนาด GMail ยังใช้ session cookie เลยนะ) เรื่อง XSS นี่จริง ๆ มันมีวิธีเช็คได้ว่าข้อมูลถูกส่งมาจากภายในโดเมนเดียวกันหรือเปล่า (จำโค้ดไม่ได้ ขอโต้ดก๊าบ) ถ้าทำแบบนั้นก็สแกนออกไปได้ระดับนึงน่ะครับ ประมาณนี้แหละครับ  |
|
|
|
|
บันทึกการเข้า
|
|
|
|
market_online
Newbie
พลังน้ำใจ: 0
ออฟไลน์
กระทู้: 99
|
|
« ตอบ #6 เมื่อ: 09 สิงหาคม 2019, 15:32:41 » |
|
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
AlwaysBlues
Newbie
พลังน้ำใจ: 3
ออฟไลน์
กระทู้: 84
|
|
« ตอบ #7 เมื่อ: 09 สิงหาคม 2019, 16:28:53 » |
|
ถ้าใช้ framework ก็น่าจะปลอดภัยระดับนึงนะครับ
เเต่ถ้าเขียนเองนี่ต้องระวังเรื่อง sql injection ดีๆครับ
|
|
|
|
|
บันทึกการเข้า
|
รับทำเว็บไซต์ ระบบหลังบ้าน ทำใหม่ ทำเพิ่ม เเก้ไขของเดิม เเก้บัค ออกเเบบระบบ ออกแบบฐานข้อมูล เว็บไซต์รองรับหลายขนาดหน้าจอ (Responsive) Angular, React, Vue, Wordpress, HTML, CSS, PHP, NodeJS, Firebase, REST API, MySQL https://parinyadahmi.com 
|
|
|
esanza.com
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 270
ออฟไลน์
กระทู้: 3,673
|
|
« ตอบ #8 เมื่อ: 09 สิงหาคม 2019, 16:39:56 » |
|
หน้า login ที่ปลอดภัย แต่โดนแฮกโฮส ก็จบครับ นิยามคำว่าปลอดภัยให้อ่านหน่อยครับ  |
|
|
|
« แก้ไขครั้งสุดท้าย: 09 สิงหาคม 2019, 16:40:11 โดย esanza.com »
|
บันทึกการเข้า
|
ใครต้องการเช่าโฮสที่มี Control Panel ดีๆ และ Support ดี แนะนำ => โฮสอะตอม |
|
|
mean
หัวหน้าแก๊งเสียว
พลังน้ำใจ: 121
ออฟไลน์
กระทู้: 1,009
|
|
« ตอบ #9 เมื่อ: 09 สิงหาคม 2019, 21:19:12 » |
|
ถ้าจะให้ปลอดภัยมากๆ ก็ allow เฉพาะ ip ครับ
แต่ถ้าจำเป็นต้องเปิดให้ผู้อื่นใช้ด้วย
เช็ค ครั้ง login ,
เช็ค ip login
เช็ค user/pass
เช็ค captcha
หรือ login แล้วยืนยัน ด้วย token code sms ผมว่ายากมากแล้วครับ
แค่นี้ก็ปลอดภัยขึ้นมากแล้วครับ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
watyai
สมุนแก๊งเสียว
พลังน้ำใจ: 12
ออฟไลน์
กระทู้: 600
|
|
« ตอบ #10 เมื่อ: 15 สิงหาคม 2019, 13:11:23 » |
|
ลองแกะของ phpBB3 ครับ ซึ่งใช้ Framework symfony เป็น framework ที่เด่นเรื่องความปลอดภัย
ตั้งค่าความปลอดภัย ได้ ซึ่งระบบ เช็ค token, เก็บ session, ban การ login ผิดบ่อยๆ, เข้ารหัส hash เก็บแยกรหัสผ่านที่เข้ารหัสแล้ว ip subnet header เช็คการ fw และอีกหลายอย่าง ลองดูครับ เจ๋งกว่าของ SMF (แต่ก่อนผม customize smf อยู่)
อ่ออีกอย่าง มีตัวช่วย login ค้างด้วย
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
wachirawit
คนรักเสียว
พลังน้ำใจ: 1
ออฟไลน์
กระทู้: 101
|
|
« ตอบ #11 เมื่อ: 15 สิงหาคม 2019, 16:33:53 » |
|
ตามครับผม  |
|
|
|
|
บันทึกการเข้า
|
|
|
|
dekdoo
สมุนแก๊งเสียว
พลังน้ำใจ: 58
ออฟไลน์
กระทู้: 891
|
|
« ตอบ #12 เมื่อ: 15 สิงหาคม 2019, 21:45:15 » |
|
หลักการก็เหมือน Login Form ทั่วไปแหละครับ เช่นเว็บของผม php
ส่วนใหญ่แล้วเขาจะ encode รหัสกับ password หลังจากกดปุ่ม submit แล้วใช้ javascript encode ค่าของ Form ก่อนแล้วค่อย post ไปหน้าปลายทางครับ
เมื่อหน้าปลายทางได้รับค่า ก็ค่อย decode ค่าด้วย php ออกมา จากนั้นเอาค่า user กับ password นั้นไปเทียบใน database ครับ
ต่อให้ไม่ได้ใช้ HTTPS แล้วถูกดักข้อมูลกลางทาง ผู้ดักข้อมูลนั้นก็ยากที่จะเข้าใจอักขระนั้น
** ต้นทางใช้ javascript encode ฟิวส์ user กับ password (จะไม่เหมือนกันทุกครั้งที่ encode อยู่ที่สูตรผสมของ function)
** ปลายทางใช้ php decode ค่าที่ส่งมา
function สำหรับ encode กับ decode ควรปรับแต่งสูตรผสมในแบบของตนเอง
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
Twenty-One
Verified Seller
เจ้าพ่อบอร์ดเสียว
พลังน้ำใจ: 335
ออฟไลน์
กระทู้: 11,751
|
|
« ตอบ #13 เมื่อ: 16 สิงหาคม 2019, 09:22:26 » |
|
เขียนเองธรรมดาก็พอครับ เขียน code ป้องกัน sql injection และ xss กับใช้ https ก็น่าจะโอเคแล้ว
เพิ่ม verfiy ด้วยยิ่งดี
|
|
|
|
|
บันทึกการเข้า
|
# บริการโฮสติ้งขั้นเทพ 24/7 เปิดให้บริการ web hosting มาแล้ว 14 ปี ลูกค้ากว่า 40,000 ราย ให้ความไว้วางใจ # hosting คุณภาพสูง ดูแลระบบโดย system engineer ประสบการณ์สูง # host เร็ง แรง ไม่มีล่ม ติดตั้ง cms ฟรี # vps ราคาถูก 50GB 999 บาท  |
|
|
zxcv
Newbie
พลังน้ำใจ: 2
ออฟไลน์
กระทู้: 39
|
|
« ตอบ #14 เมื่อ: 16 สิงหาคม 2019, 10:12:56 » |
|
ใส่ verfiy อีกชั้นครับ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
market_online
Newbie
พลังน้ำใจ: 0
ออฟไลน์
กระทู้: 99
|
|
« ตอบ #15 เมื่อ: 20 สิงหาคม 2019, 14:59:41 » |
|
ทำโปรเจคยุ กำลังหายุครับ
|
|
|
|
|
บันทึกการเข้า
|
|
|
|
|
พัฒนาเว็บไซต์
