Html I JavaScript se izvršavaju na klijentskoj strani, odnosno na korisničkom računaru


mail($primaoc, $tema, $_POST['poruka'],$zagl);} ?>



Yüklə 2,77 Mb.
səhifə14/16
tarix17.09.2018
ölçüsü2,77 Mb.
#68911
1   ...   8   9   10   11   12   13   14   15   16

mail($primaoc, $tema, $_POST['poruka'],$zagl);} ?>



Fajl sa formularom emeilform.html:

  • Fajl sa formularom emeilform.html:

  • Ime i prezime:

  • size="30" />

  • Od:

  • />

  • Za:

  • size="30" />

  • Adresa:





Da bi se pokrenuo meil servis potrebno je implementirati meil aplikaciju i povezati je sa wamp serverom.

  • Da bi se pokrenuo meil servis potrebno je implementirati meil aplikaciju i povezati je sa wamp serverom.

  • PHPMailer implementira siguran prenos i-meila uz upotrebu SSL/TLS protokola kroz gmail račun

  • http://blog.techwheels.net/send-email-using-wamp-server/



Postoje dve vrste autentifikacije: Autentifikacija se zasniva na HTTP autentifikaciji opisanoj u IETF RFC2617

  • Postoje dve vrste autentifikacije: Autentifikacija se zasniva na HTTP autentifikaciji opisanoj u IETF RFC2617

  • U oba slučaja korisnik unosi šifru, na osnovu koje se korisnik proveri i pusti na odgovarajuće strane

  • Korisnička šifra i sesija mogu biti ukradene, i čuvaju se šifrovanjem u okviru HTTPS protokola

  • Napadač može da nametne korisniku SID



Autentifikacija se zasniva na HTTP autentifikaciji opisanoj u IETF RFC2617

  • Autentifikacija se zasniva na HTTP autentifikaciji opisanoj u IETF RFC2617

  • Pomoću funkcije header() se šalju komande brauzeru da treba traži login podatke od korisnika

  • Podaci koje je korisnik ukucao se nalaze u superglobalnoj promenljivoj $_SERVER ['PHP_AUTH_USER'], i $_SERVER['PHP_AUTH_PW']



Fajl koji sadrži korisnička imena i lozinke je lozinke.txt

  • Fajl koji sadrži korisnička imena i lozinke je lozinke.txt

  • aleks : 12cikpogodi

  • pera : 3jhkj34

  • milan : 89kjlkjal

  • marija : 98nkj32kk



Kod koji generiše fajl sa kriptovanim lozinkama

  • Kod koji generiše fajl sa kriptovanim lozinkama

  • $lozinke = file("lozinke.txt");

  • $fl=fopen("sifrovaneLozinke.txt","w");

  • foreach ($lozinke as $login){

  • list($username,$lozinka)=explode(":",$login);

  • $lozinka=trim($lozinka);

  • $username=trim($username);

  • fwrite($fl,$username.":".md5($lozinka)."\n");}

  • fclose($fl);

  • ?>



Fajl sa kodom za autentifikaciju:

  • Fajl sa kodom za autentifikaciju:

  • $autorizovan = FALSE;

  • if (isset($_SERVER['PHP_AUTH_USER']) && isset($_SERVER['PHP_AUTH_PW']))

  • {$sifLoz = file("sifrovaneLozinke.txt");

  • if (in_array($_SERVER['PHP_AUTH_USER'].":"

  • .md5($_SERVER['PHP_AUTH_PW'])."\n", $sifLoz))

  • $autorizovan = TRUE;}

  • if (! $autorizovan) {

  • header('WWW-Authenticate: Basic Realm');

  • header('HTTP/1.0 401 Neautorizovan');

  • /* Ako korisnik ukuca Cancel dobija se sledeće */

  • print('Morate dati ispravne login podatke!');

  • exit;}

  • echo "Materijal sa restrikcijama ..."

  • ?>





Napadač može da presretne šifru i da je preuzme.

  • Napadač može da presretne šifru i da je preuzme.

  • SSL/TLS može da se koristi za šifrovanje stranica koje učestvuju u autentifikaciji.

  • Md5 je slab heš algoritam, danas se koriste Sha-3 algoritmi.

  • Napadač pravi lukap tabele svih mogućih šifri. Zato se šifri dodaje slučajni uzorak salt, i zajedno se hešuju.

  • PHP funkcije password_hash(), i password_verify().



Sesija se može čuvati pomoću SSL/TLS šifrovanja, a secure atribut kolačića se setuje na true.

  • Sesija se može čuvati pomoću SSL/TLS šifrovanja, a secure atribut kolačića se setuje na true.

  • Umetanje lažne sesije se sprečava digitalnim potpisivanjem.

  • Kradja sesije se može otežavati dodatnim kolačićem koji server često menja, i proverava da li je jednak prethodnoj vrednosti. Ako vidi da nije zatvara sesiju.

  • Dodatna sigurnost se ostvaruje setovanjem HTTP atributa kolačića na true, da kolačići ne mogli da se menjaju u Javascriptu.




Yüklə 2,77 Mb.

Dostları ilə paylaş:
1   ...   8   9   10   11   12   13   14   15   16




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2024
rəhbərliyinə müraciət

    Ana səhifə