| |
|
|
| | Здравствуйте!
Есть таблица с пользователями. Авторизация пользователей на сайте определяется по логину и паролю. Чтобы пользователь постоянно не вводил свои данные, использую куки.
В куках записывается логин и пароль.
Хотел как-то усложнить "защиту" от взломов и поэтому в куках вместо пароля решил записывать уникальный ключ (генерируется каждый раз при обновлении страницы), и в бд тоже записывать этот ключ.
То есть в куку и в бд вставляется каждый раз новое значение, когда пользователь "ходит" по сайту и "угнать" данные из куки и использовать будет не вариант (хотя я не знаю как угоняется и как потом используется, но понаслышке знаю).
Ну и допустим кто-то украдет ключ из куки, но он уже не будет работать.
Нормальная ли эта защита или это тоже самое, что просто хратить логин с паролем в куках? (например, как на этом сайте) | |
| |
|
|
| |
|
|
| |
для: ladan
(22.08.2012 в 01:16)
| | | Достаточно просто хранить в куках логин и пароль. Но пароль должен храниться в базе (и в куках) в зашифрованном виде. Больше думайте о защите сервера, чтобы не было "дырок", не заливали шел-скрипты и.т.д, а не о куках конечных пользователей. | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(22.08.2012 в 01:21)
| | | Спасибо! тогда все внимание сконцентрирую на "дырки" :) | |
| |
|
|
| |
|
|
| |
для: ladan
(22.08.2012 в 01:38)
| | | не надо хранить в куках настоящие логин и пароль, даже в зашифрованном виде (какая разница зашифрован он или нет, если по нему происходит авторизация)
в куках надно хранить автоматически сгенерированный на основе IP + еще некоторой служебной информации идентификатор, по которому можно провести авторизацию с ограниченными правами. | |
| |
|
|
| |
|
|
| |
для: Valick
(22.08.2012 в 07:33)
| | | а как тогда делать чекбокс "запомнить"?
Чтобы через 2 дня пользователь мог зайти, а авторизация работает... | |
| |
|
|
