Насколько безопасен мой метод авторизации?

Question

[ColdSpirit]

Добрый день. Есть сайт, пользователь у него планируется только один (админ), ради этого не хочется создавать и защищать таблицу логин-пароль в бд.
Думаю создать секретную ссылку (гет-параметр) на страницу авторизации, которая будет только у админа и там будет форма ввода пароля. Хэш пароля будет зашит в PHP - коде.

Вопрос такой: возможно ли каким-нибудь способом обнаружить эту ссылку или вытащить хэш из пхп-кода?
Или может есть какие-нибудь более интересные альтернативы авторизации одного пользователя?

Answer 1

[Василий]

Ну вытащить PHP-код всегда можно. Было бы желание. Немного желания. Вопрос в другом - кому и зачем это может понадобиться. Составь список для себя в голове. мегакуллхацкеров с никами "бэтмен", "киллер-убийца" и прочих Черных Плащей можешь в расчет не брать. Они даже не знают, что такое Хэш, не говоря о том, как им воспользоваться.
Реально оцени ситуацию, кто и зачем может попробовать взломать.
После того, как сделаешь это - воспользуйся нормальными методами защиты - с шифрованием БД, https соединением и прочим. Тоже не панацея, но хотя бы как-то. Если ресурс серьезный и его взлом чреват по настоящему серьезными проблемами, подключи TACACS+ сервер для аутентификации и авторизации, не забывай об https с последней версией SSL и возможно даже стоит настроить VPN. Т.е. по VPN подключаешься к серверу, оттуда со всем этим https и TACACS подключаешься уже к сайту.

И впредь никогда не задавайся подобными вопросами. Максимальная паранойя в сфере ИТ безопасности - одна и проф.деформаций хорошего админа, позволяющая ему получать хорошие деньги, а ему и руководству - спать спокойно.

Comments

[ColdSpirit]

-- Ну вытащить PHP-код всегда можно.
как? гуглил - на stack overflow пишут что почти невозможно

взломать могут попробовать, но не слишком старательно)
а использовать такие серьезные методы защиты что вы описали нет ни знаний ни времени.

расскажите пожалуйста, чем плох тот метод что я описал (если сравнивать его со всеми теми, что можно сделать используя БД, htaccess и PHP)?

[Василий]

ColdSpirit: Я понимаю, что онлайновые духи мудры, но сильно не стоит им доверять. Я так понимаю, вы никогда не пользовались менеджером для загрузки сайтов на локальный ПК? А не пробовали через telnet get-запросом просматривать содержимое страницы? Правда для этого надо знать название файла, но для этого можно воспользоваться той-же программой для закачки сайтов. Не всегда она их нормально качает, но файлы обычно отображаются весьма корректно, если нет защиты. Не знаю, как она реализуется, но наблюдал.

[ColdSpirit]

Василий: как я понял, телнет все равно получает готовое содержимое страницы, а не исходник.
Сайт один раз скачивал через "телепорт" - он также грабил содержимое. А в полученном html коде нигде не будет этого хеша - он будет только в исполняемом коде.

К тому же злоумышленник, чтобы подойти к этой странице, должен знать вообще где она, тот же телепорт сканирует сайты на ссылки и переходит от одной к другой. К моей форме авторизации нигде и никогда ссылок не будет.

К сожалению в системном администрировании я очень плох и не разговариваю на эльфийском, поэтому мне очень тяжело вас понять =)

[Василий]

ColdSpirit: Тогда забейте :) Главная идея - если сервис не критичный, если после авторизации в нем человек не нарушит работу организации, а причинит только мелкие неприятности, то можете оставить все так с двумя дополнениями.
1. По возможности сделайте проверку по IP.
2. Не забудьте настроить бэкапы базы/сайта и прочего на случай чего.

[ColdSpirit]

Василий: можно сказать что это мой личный сайт, а не организация, и пользователь у него будет только один - это админ) поэтому и делаю такую "странную" авторизацию, просто хочется убедиться что у нее нет критических недостатков

[ColdSpirit]

Василий: бэкапы - это да, обязательно, а вот проверять по айпи никак =( провайдер не дает такой услуги

[Василий]

Беда :(
Если личный - тогда забейте :) Все в порядке :)

Answer 2

[Сергей Зеленский]

basic http authentication

Comments

[ColdSpirit]

мне кажется это не настолько безопасный метод аутентификации:
- сложно подключить к фреймворку
- пароль хранится в чистом виде
- неограниченная возможность перебора пароля

[Antony Ryabov]

ColdSpirit:
- сложно подключить к фреймворку - 1 слой безопасности.
- пароль хранится в чистом виде - это не так.
- неограниченная возможность перебора пароля - fail2ban или тупо разрешить только 1 ip.
В любом случае basic http будет безопаснее любого костыля, который вы запилите.

[ColdSpirit]

Antony Ryabov: сложно подключить к фреймворку - это большой минус. большая вероятность что я накосячу фатальную ошибку в такой авторизации, которой ничего не понимаю, чем в моем варианте, который сделать достаточно легко (это сейчас большой плюс для меня). вопрос только в том, нет ли в этом варианте ошибок

Answer 3

[Владимир Мартьянов]

Учитывая, что сравнение GET параметра с эталоном наверняка не будет выполняться за константное время, вытащить хэш можно попробовать через оценку времени ответа сервера.

Comments

[ColdSpirit]

не понял, что вы имеете ввиду - как связан урл и пароль в коде?

[Владимир Мартьянов]

ColdSpirit: Происходит сравнение GET-переметра и хэша в коде. Время сравнения будет влиять на время ответа скрипта

[ColdSpirit]

кодовый гет параметр - это только урл, который уже ведет на страницу авторизации, а там уже данные идут через POST. и зашитый в пхп код будет так же преобразовываться, хотябы ради приличия =)