| |
|
|
| | Человека авторизуется на сайте, зашифрованный пароль и логин хранится в куках его браузера
Дальше, он заходит через там определенное время из куки вытаскиваются значения, расшифровываются и он автоматически авторизуется.
А как же вопрос с защитой его данных в куках? Ну и что что они шифрованы, их ведь могут украсть(как это делается не знаю) и создать к примеру в другом браузере куку и засунуть эти шифрованные данные и взломщик сам по себе автоматически авторизуется за чужого человека...
Как правильно нужно сделать? | |
| |
|
|
| |
|
|
| |
для: ladan
(11.01.2012 в 00:51)
| | | [поправлено модератором] | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(11.01.2012 в 01:45)
| | | спасибо, почитаю! | |
| |
|
|
| |
|
|
| |
для: ladan
(11.01.2012 в 01:55)
| | | из той статьи, что Вы дали, размещаю функцию в самом верху страницы
<?
function setAutologin()
{
$hash = md5(randStr() . 5);
setcookie('hash', $hash, time() + 3600 * 24 * 30, '/');
}
?>
|
Показывает предупреждение Warning: Cannot modify header information - headers already sent by
в функции не хотят куки устанавливаться
Как быть? (:
Файл в кодировке utf-8 без бума | |
| |
|
|
| |
|
|
| |
для: ladan
(11.01.2012 в 04:04)
| | | ошибка говорит, что нельзя изменить информацию , заголовки уже отправлены
проверяйте, не должно быть кода html, пробелов или вывода информации при помощи echo или print перед установкой cookie. после и перед <? тоже не должно быть пробелов...
файл в кодировке "utf 8 без bom"? удобно посмотреть в notepad++
ну в общем вот такая вот ошибка, проверяйте... | |
| |
|
|
| |
|
|
| |
для: Slo_Nik
(11.01.2012 в 04:51)
| | | спасибо, помогло, | |
| |
|
|
| |
|
|
| |
для: ladan
(11.01.2012 в 11:38)
| | | прочел всю статью что Вы давали, появились вопросы :)
Добавлю в таблицу своей регистрации ячейку хеш и туда буду складываться случайное уникальное число для автологина. Это сделаю..
Вообще из той статьи понял такую систему атологина. Если существует переменная "запомнить меня", записываем в куку и таблицу юзера случайное униклальное число и потом просто приследующем заходе на сайте, вытаскиваем это число из куки и ищем по базе, где есть такое и если все окей, пускаем пользователя.А вот вопрос, могут ли эту куку угнать у пользователя ? Раз это число генерируется только 1 раз, и узлоумышленник каким-то образом им завладет, потом подменит у себя в браузере и зайдет за другого человека и все.. наступила беда :) | |
| |
|
|
| |
|
|
| |
для: ladan
(11.01.2012 в 12:48)
| | | Вот сейчас на одном форуме IP.Board
Скачал свои куки- хеш пароля и логин, открыл другой браузер на компе, подменил данные и зашел за себя.
Как можно это обойти? Или это нормально? | |
| |
|
|
| |
|
|
| |
для: ladan
(11.01.2012 в 12:55)
| | | прочел статью об угоне http://www.redline-software.com/rus/support/articles/security/authentication/man-in-the-middle-attacks-part3.php
теперь есть представления, больше бредовых вопросов задавать не буду :) | |
| |
|
|
