super-admin "vast zetten" ?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: « vorige 1 2 3 volgende »

Ozzie PHP

Ozzie PHP

29/04/2014 09:50:03
Quote Anchor link
Thanks voor de toelichting.

Ik vond dit linkje:

https://www.sslcertificaten.nl/SSLCertificaten#EV_Standaard_1_1

In de EV certificaten onderling zit blijkbaar veel prijsverschil.
 
PHP hulp

PHP hulp

28/03/2024 09:30:05
 
Willem vp

Willem vp

29/04/2014 10:04:35
Quote Anchor link
Ozzie PHP op 29/04/2014 09:33:31:
Ik heb ze goedkoper gezien. Volgens mij zit er wel verschil in de mate van encryptie, en ik geloof ook dat ze niet allemaal een gekleurde balk geven. Sommigen geven alleen een slotje, en anderen geven ook zo'n gekleurde balk.

Niet alleen dat. StartSSL bijvoorbeeld heeft een EV-certificaat (groene balk, 256-bits encryptie, etc) voor $200 per 2 jaar. Zonder EV heb je ze zelfs nog een stuk goedkoper. Het addertje zit daar weer ergens anders onder het gras: als je een certificaat wilt intrekken (bijvoorbeeld vanwege een heartbleed bug) dan kost je dat geld ($25). En het zou me niets verbazen als het opnieuw uitgeven van je certificaat dan ook weer 200 dollar kost. Wanneer je echter nooit iets hoeft te wijzigen, zijn de certificaten lekker goedkoop.
 
Davey Mat

Davey Mat

29/04/2014 10:21:22
Quote Anchor link
@Ozzie: Nee, ik zelf niet, maar als je een master password gaat gebruiken kan je deze net zo goed extra lang en moeilijk maken. Zeker als je van plan bent ditzelfde wachtwoord voor meerdere websites waar jouw systeem draait te gaan gebruiken. Maar 256 tekens is aan de flinke kant natuurlijk;)

Ik kom nu bij een hostingsbedrijf tegen dat ze zelfs shared ssl-certificaten aanbieden. Wist nooit dat er zo'n groot aanbod aan verschillende certificaten was!
Als ik een webshop moet ik dus minimaal een OV nemen en een website als phphulp.nl die gebruikers een https verbinding willen aanbieden is DV voldoende?
 
Ward van der Put
Moderator

Ward van der Put

29/04/2014 10:39:01
Quote Anchor link
Voor een webshop kun je ook een DV-certificaat gebruiken.

Je ziet dan geen bedrijfsnaam in een groene balk, maar als de hostnaam toch gelijk is aan de bedrijfsnaam maakt dat weinig uit.
 
Willem vp

Willem vp

29/04/2014 11:05:08
Quote Anchor link
Ward van der Put op 29/04/2014 10:39:01:
Voor een webshop kun je ook een DV-certificaat gebruiken.

Hangt een beetje van de issuer af. Sommige doen namelijk moeilijk over een DV-certificaat als je bent ingeschreven bij de Kamer van Koophandel, onder het motto: "als je een organisatie bent, moet je je ook als een organisatie presenteren."
 
Davey Mat

Davey Mat

29/04/2014 11:08:27
Quote Anchor link
@Willem vp: Wat bedoel je precies met "sommige"?

Ik dacht namelijk alleen aan klanten die bv op internet en foldertjes van veilig internet winkelen etc. dat je altijd moet letten of je beveiligd je aankopen doet, wat onder andere te controleren is aan een groen kader met naam van het bedrijf in de url-balk.
 
Ward van der Put
Moderator

Ward van der Put

29/04/2014 11:19:43
Quote Anchor link
Klopt Willem, de ene CA smeert je dan een duurder OV-certificaat aan, de andere CA heeft duurdere DV-certificaten. Linksom of rechtsom komen uitgebreider controleprocedures meestal wel tot uitdrukking in de prijs.

Voor een van mijn DV-certificaat moest ik bijvoorbeeld een vast telefoonnummer hebben en dat wordt ook nagebeld door iemand die vloeiend Nederlands spreekt. Dat is een controleprocedure die andere CA's pas bij een OV-certificaat toepassen.

Persoonlijk zou ik wel vraagtekens zetten bij een "shared" certificaat, want met wie deel je zo'n certificaat dan eigenlijk wel niet allemaal? Tientallen of zelfs honderden personen en bedrijven op dezelfde shared server?
 
Willem vp

Willem vp

29/04/2014 11:49:05
Quote Anchor link
En ondanks dat we een beetje aan het afdwalen zijn van de oorspronkelijke vraag, komen we toch uit bij een oplossing die misschien wel beter is dan een master password: doe de validatie op basis van een certificaat/RSA-key.

Je zou dat kunnen doen met een software-key (zoals je bijvoorbeeld bij SSH kunt doen) maar ook met een hardware-key als bijvoorbeeld Swekey
 
Ozzie PHP

Ozzie PHP

29/04/2014 11:54:08
Quote Anchor link
Thanks voor de tip Willem, maar het liefst wil ik niet "gebonden" zijn en in principe vanaf iedere computer kunnen inloggen, zonder dat ik software of hardware op die computer hoef te installeren. Het is misschien wel een idee om bijv. een paar security vragen of codes in te stellen die je moet beantwoorden als je niet vanaf je standaard-ip adres inlogt.
 
Dos Moonen

Dos Moonen

29/04/2014 11:57:13
Quote Anchor link
Ozzie PHP op 29/04/2014 11:54:08:
Thanks voor de tip Willem, maar het liefst wil ik niet "gebonden" zijn en in principe vanaf iedere computer kunnen inloggen, zonder dat ik software of hardware op die computer hoef te installeren. Het is misschien wel een idee om bijv. een paar security vragen of codes in te stellen die je moet beantwoorden als je niet vanaf je standaard-ip adres inlogt.


Zolang die security questions maar bovenop een correct wachtwoord komen, security questions zijn over het algemeen minder veilig dan wachtwoorden. Zeker als je de vragen zelf niet kan typen.

Wat ook kan is het in je database opslaan in een tabel waar maar één account update en insert rechten heeft. Dat account is natuurlijk NIET het account dat je applicatie gebruikt om te verbinden.
Gewijzigd op 29/04/2014 12:00:19 door Dos Moonen
 
Ozzie PHP

Ozzie PHP

29/04/2014 12:00:19
Quote Anchor link
Ik zou dan denken aan eerst het juiste wachtwoord invoeren. Dan controleren of het ip-adres "bekend" is. Zo niet, dan nog een extra code invoeren, of eventueel een paar vragen beantwoorden. En sowieso telkens als iemand inlogt met het master password even een mail naar jezelf sturen. Als je dan een mail krijgt terwijl je zelf niet bent ingelogd, weet je dat het fout zit.

Toevoeging op 29/04/2014 12:01:43:

>> Wat ook kan is het in je database opslaan in een tabel waar maar één account update en insert rechten heeft. Dat account is natuurlijk NIET het account dat je applicatie gebruikt om te verbinden.

Dat zou inderdaad ook kunnen...
 
Willem vp

Willem vp

29/04/2014 12:58:45
Quote Anchor link
Ozzie PHP op 29/04/2014 12:00:19:
En sowieso telkens als iemand inlogt met het master password even een mail naar jezelf sturen. Als je dan een mail krijgt terwijl je zelf niet bent ingelogd, weet je dat het fout zit.

Nóg mooier: integreren met de API van Telegram. Als iemand inlogt met het master password, krijg je een telegram-bericht op je telefoon. Dat kun je uitbreiden door bijvoorbeeld alleen toegang te verlenen als je een bericht met ACK terugstuurt.
 
Ozzie PHP

Ozzie PHP

29/04/2014 13:02:18
Quote Anchor link
Ik gebruik (nog) geen Telegram en ontvang m'n mail ook op m'n telefoon. Maar als Telegram bericht zou inderdaad wel grappig zijn :)

>> Dat kun je uitbreiden door bijvoorbeeld alleen toegang te verlenen als je een bericht met ACK terugstuurt.

Euh, watte?
 
Ward van der Put
Moderator

Ward van der Put

29/04/2014 13:03:50
Quote Anchor link
En dan is je batterij leeg en ligt de oplader op je nachtkastje :-)
 
Willem vp

Willem vp

29/04/2014 13:16:50
Quote Anchor link
Ozzie PHP op 29/04/2014 13:02:18:
>> Dat kun je uitbreiden door bijvoorbeeld alleen toegang te verlenen als je een bericht met ACK terugstuurt.

Euh, watte?

Nou, precies zoals ik het zeg. ;-) Je ontvangt een bericht dat iemand probeert in te loggen. Daarop stuur je met telegram een bericht terug waarin iets staat als ACK of OK. De server ontvangt dat bericht en laat vervolgens de login toe. Of je stuurt een bericht met BLOCK erin en dat IP-adres komt op de zwarte lijst.

Een andere optie is het sturen van een pincode per email/telegram/sms die je vervolgens in de login-box moet intikken. Websites als die van GMail gebruiken dat tegenwoordig ook als extra (optionele) authenticatielaag.
 
Ozzie PHP

Ozzie PHP

29/04/2014 13:22:45
Quote Anchor link
>> Een andere optie is het sturen van een pincode per email/telegram/sms die je vervolgens in de login-box moet intikken.

Dat is inderdaad wel gaaf. Dus je logt in via een onbekend ip-adres, en dan krijg je per mail een pin-code toegestuurd. Da's wel cool :)

Hoe werkt dat eigenlijk met Telegram? Is dat gratis... en is zo'n API makkelijk te gebruiken?
 
Willem vp

Willem vp

29/04/2014 13:35:38
Quote Anchor link
Telegram is gratis. Of die API eenvoudig is, weet ik nog niet; dat ben ik nu aan het uitzoeken. Wil het zelf gaan gebruiken voor monitoring/storingsmeldingen. Dat zou ons maandelijks enkele duizenden SMS-jes schelen. ;-)

Een alternatief voor de API is de command line interface; daar zou ook wel wat mee te doen moeten zijn en wellicht eenvoudiger dan met de API. Probleem is alleen dat Telegram vrij nieuw is en alle software die er omheen wordt gemaakt nog in beta-stadium is.
 
Ozzie PHP

Ozzie PHP

29/04/2014 13:47:16
Quote Anchor link
Ah oké... ik hoor het al... dat klinkt vrij ingewikkeld.

Jij zegt dat je met smsjes werkt, maar waarom maak je niet gebruik van e-mail?
 
Willem vp

Willem vp

29/04/2014 13:56:01
Quote Anchor link
Ozzie PHP op 29/04/2014 13:47:16:
Jij zegt dat je met smsjes werkt, maar waarom maak je niet gebruik van e-mail?

Als je een SMS of IM binnenkrijgt weet je dat je daar meteen op moet reageren. Email gebruiken we ook nog voor dingen waar niet meteen op gereageerd hoeft te worden.
 
Ward van der Put
Moderator

Ward van der Put

29/04/2014 14:04:48
Quote Anchor link
>> Email gebruiken we ook nog voor dingen waar niet meteen op gereageerd hoeft te worden.

Waarom dan geen apart e-mailadres en een bell op de mailbox: ding-dong, you've got mail.
 

Pagina: « vorige 1 2 3 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.