Форум PHP

Всем привет, задался вопросом безопасности, и вот вопрос.

После многочисленных проверок, пользователь авторизуется на сайте, и в сессии хранится его имя и пароль (хэш). После этого проверяю, есть ли у пользователя определенные сессии, забираю данные, подставляю в БД и если ок, то показываю нужный контент.

Безопасен ли такой метод? Могут ли злоумышленники, зная имя, и подсмотрев на компе жерты хэш пароля, подставить на своём компе эти данные и зайти в аккаунт? Если да, то как защититься?

Заранее спасибо!

а какой смысл его там держать?

Кроме того,
>После этого проверяю, есть ли у пользователя определенные сессии,
Что такое определенные сессии?
У него их может быть несколько?

Ошибся, не сессии, а куки :) С сессиями всё ясно))

однозначно опасно
в куках нужно хранить вторичный пароль, с ограниченными правами и ограниченным сроком действия

кагбэ ключ автологона называть паролем я бы не стал... даже вторичным.
под паролем, всё же, обычно понимается некая строка символов, которую приходится хотя бы раз вводить руками хозяина.

Хм, я так и не понял.
Есть логин (имя) и пароль (хэш), что мне хранить в куках и в каком виде, чтобы это было безопасно. Также нужно, чтобы было и удобно, каждый раз вводить логин и пароль - это не удобно. Например, соц. сеть Вконтакте, там доступ к аккаунту можно получить, подставив хэш в куку... Как быть?

в смысле - как?
значение в кукисе и является аутентифицирующим так или иначе.
Если запретить аутентифицировать браузер пользователя по куке, автологон просто невозможно будет реализовать.
И значением этим вовсе необязательно делать хеш пароля.

Значит, хранить в куках логин (в открытом виде) и пароль (хэш) - это правильно?

нет
нужно хранить iusd56sejgf7sdjkn7djg8xdmknjxcfg7 - это уникальная строка в базе (и не логин и ни пароль ни разу) соответствующая определенному юзеру по которой происходит автологин

А-аа, теперь понял.
Но если этот "iusd56sejgf7sdjkn7djg8xdmknjxcfg7" возьмут и подставят в свои куки, то получится, что злоумышленнику не потребуется ни логин, ни пароль, он спокойно получит доступ - тогда не вижу разницы, если в куках будет висеть и логин, и хеш пароля... данные разные, но смысл они выполняют один - автологин. Зная эти данные, злоумышленнику не требуется знать реальный пароль... В чем я не прав?

Вот в чем.

Спасибо, оч интересно, многое прояснилось и многое "устолбилось".

Но я так и остаюсь при своём мнении, что зная хэш (уже понял, что нужно не пароля, а случайных данных), злоумышленник без ввода пароля и логина, спокойно войдёт в аккаунт. Я прав?

Факт. Но на то и автологин. Если у Вас украдут ключи от машины, всяко разно на ней уедут. Другое дело, что Вы в ней чемодан с деньгами еще оставите :)

злоумышленник без ввода пароля и логина, спокойно войдёт в аккаунт
да выбросте Вы свои книжки "про шпионов" ))
войдет, ну и что? если права при таком входе ограничены, то может только посмотреть что-то
смена пароля например всегда должна подтверждаться старым паролем, ну и тд.
ну а уж если хотите "наглухо заколотиться" используйте https да еще и одноразовые пароли на мобильник :)

Вообщем, я понял :) Я на правильном пути... а поломают, так поломают :)

>а какой смысл его там держать?

иногда требуется, чтоб со сменой пароля все авторизации "упали" и при этом, я хочу иметь несколько авторизаций и с ПК, и с мобилы, и с дома, и с работы.

Ладно мы, сможем СИДы сохранить.. а обычные юзеры?

Это касается в сессиях хранить пароль.

Так выдавайте честно эти авторизации. Записывайте в таблицу.
И точно также честно их из таблицы удаляйте при необходимости.

>Это касается в сессиях хранить пароль.

C этого места поподробнее.
Зачем в сессии хранить пароль?
Только не говорите, что Вы тоже сессию с кукой перепутали.