Разработка системы безопасности интрасайта.

Armageddance

Новичок
Не уверен, что правильно подобрал ветку для топика, но более подходящей не увидел.
Разрабатываю интрасайт (сайт внутреннего пользователя организации). Сейчас продумываю механизм безопасности работы в системе, прежде всего, авторизации.
Решил писать с нуля, а не писать по готовым рецептам.
Прежде всего, заведена отдельная таблица, где фиксируются ip адреса и логины/пароли всех пользователей, которые удачно либо неудачно пытаются залогиниться. С целью ведения статистической информации на будущее.
Далее, авторизация возможна только для определенных маск разрешенных ip адресов, все остальные адреса заблокированы. Авторизация происходит методом сравнения md5 паролей, введенного и из базы. В случае трех неудачных попыток залогиниться происходит блокирование ip адреса на 15 минут.
Доступ к логинам сотрудников и таблицам ip-адресов имеет лишь старший администратор.
Какие еще можете дать рекомендации по улучшению механизма безопасности?
 

Mols

Новичок
где фиксируются ip адреса и логины/пароли всех пользователей, которые удачно либо неудачно пытаются залогиниться.
И при этом
методом сравнения md5 паролей, введенного и из базы
Ничего странного не замечаете?
 

Armageddance

Новичок
В базе фиксируется только md5 пароля, сам пароль в базе не записан. Я выше неясно выразился.
 

Armageddance

Новичок
Три таблицы. В первой хранятся логины и ip адреса для пытающихся авторизоваться пользователей. Хеш паролей там не хранится. Зачем? Затем чтобы проследить попытки атак и взломов системы, если таковые будут иметь место. Во второй таблице хранятся ip адреса и id пользователей, которые удачно залогинились, чтобы отслеживать их точки входа и фиксировать эту информацию в системе.
В третьей таблице, таблице пользователей, помимо всего прочего, хранятся логины и хеш паролей пользователей, привязанные к id.
 

KorP

Новичок
В первой хранятся логины и ip адреса для пытающихся авторизоваться пользователей.
Прежде всего, заведена отдельная таблица, где фиксируются ip адреса и логины/пароли всех пользователей, которые удачно либо неудачно пытаются залогиниться.
ты бы уж определился что и в какие таблицы ты всё-таки пишешь
 

exIV

Новичок
Не уверен, что правильно подобрал ветку для топика, но более подходящей не увидел.
Разрабатываю интрасайт (сайт внутреннего пользователя организации). Сейчас продумываю механизм безопасности работы в системе, прежде всего, авторизации.
Решил писать с нуля, а не писать по готовым рецептам.
1. Таблица с попытками авторизации это одназначно +

2. Хэши надо делать с солью (вы не написали с солью они у Вас или нет)

3. Однозначно лучше все-таки для паролей использовать SHA1 + соль, MD5 в этом смысле сейчас уже можно считать не очень надежным, есть большие базы и online сервисы по подбору строки для нужного результата хэш-функции. Я понимаю что это параноя, но если пароли без соли, то вскрываются на раз-два.

4. Используйте SSL, если не будете использовать SSL, то вся ваша затея с безопасностью (при условии обычной, не туннельной сети в рамках предприятия) окажется легко ломаема с помощью простого сниффинга.
 
Сверху