From: Umut PHP (php@kakalak.org)
Date: Sun 20 Jul 2003 - 16:54:21 EEST
Merhaba,
php'nin mcrypt fonksiyonlari ile oynuyordum, gayet guzel.
ancak sanirim sadece simetrik olarak kapatip acabiliyor.
asimetrik sifreleme/acma yapabilecegim bir kutuphane
var mi php icin?
perl icin bolca buldum. Bir ihtimal system cagrilari ile
o programciklardan istifade etmek cozum olabilir.
Saygilar.
Umut
------- ilgilenen olursa php ile yaptigim guvenli login -----
login form kullaniciya gonderilirken bir random key
olusturuluyor ve session icinde saklaniyor. daha sonra
formun icinde hidden field olarak random key ile saklanmis
bir rasgele metin gonderiliyor.
form doldurulup geri geldiginde kontrol degiskenini sessiondaki
key ile acip verdigim metnin dogru olup olmadigina bakiyorum.
eger dogruysa sonra username/password check yapiliyor.
eger username/password tutarsa siteye girebiliyor.
eger tutmazsa yeni bir key/metin cifti esleniyor ve hata
mesajiyla birlikte yeni bir form gonderiliyor.
eger gelen key/metin tutmazsa yine yeni bir key/metin
olusturuluyor ve sifre hatali mesaji veriliyor sadece.
bruteforce'u onlemek icin de hata mesajlari ve yeni kontrol
degiskenlerini iceren formlar 10 saniyelik gecikme ile
gonderiliyor.
bu sayede bruteforce yapmak isteyen birisi her defasinda
yeni kontrol degiskenini beklemek zorunda. proxylere karsi
tek yapabildigim olusturulan key/metin ciftinde time() ve
remote_addr bilgilerini kullanmak ve kontrol etmek oldu.