| |
|
|
| | Речь идет не о базовой авторизаци, а о той что использует сессии или куки, или же вместе.
Предположим авторизуем с помошью сессий, для предотвращения угона у пользователя кук проверяем неизменность его ip адреса, с момента авторизации. В то же время я вычитал из "профессионального програмирования на PHP" Джорджа Шлосснейгла что IP адрес вполне может быть изменен провайдером на протяжении сеанса (использование кластеров прокси-серверов). Тоесть система может не пустить даже законного пользователя. Вопрос насколько критична эта проблема? Провайдеры действительно практикуют таку фишку? А в России? Или проблема является надуманной?
Вопрос второй. Мне надо "запомнить" пользователя надолго. Для этого я ему в куки ставлю какую-нибуть метку, при получении которой сайт востанавливает сеанс с этим пользователем. Вопрос в том - как защитить эту метку опять от того что ее может "стырить" злоумышленник? Привязывать тут ip бесполезно, возможно стоит привязывать ее к браузеру? Есть еще решения? | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 19:43)
| | | >Мне надо "запомнить" пользователя надолго. Для этого я ему в куки ставлю какую-нибуть >метку, при получении которой сайт востанавливает сеанс с этим пользователем. Вопрос в
Насчет запомнить надолго, для этого кукисы и ставятся, с соответствующими параметрами жизни.
>том - как защитить эту метку опять от того что ее может "стырить" злоумышленник?
Что вы имеете ввиду? Стырить каким образом?
>возможно стоит привязывать ее к браузеру
Чем ваш браузер(скажем например IE 6) отличается от моего IE 6? | |
| |
|
|
| |
|
|
| |
для: AcidTrash
(21.10.2008 в 22:58)
| | | >Насчет запомнить надолго, для этого кукисы и ставятся, с соответствующими параметрами жизни.
Я и не утверждаю обратного, вопрос вообще не в этом, а в том как их защитить от использования сторонним лицом.
>Что вы имеете ввиду? Стырить каким образом?
Таким же как и номер сессии, xss уязвимость например
>Просто чем ваш браузер(скажем например IE 6) отличается от моего IE 6?
Тем что у меня его (ослика 6.0) нету ;) Ничем, в этом и проблема, но все же привязка куки к браузеру возможна, не думаю что злоумышленник сразу просечет что в куках спрятана еще и информация о браузере, а если и просечет - чтож ему же больше работы. Другое дело насколько это эффективно. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 23:06)
| | | >Таким же как и номер сессии, xss уязвимость например
Ну если у вас сайт дырявый по определению, то имеет смысл красть прямо из БД. В противном же случае, куки - вполне надежны. | |
| |
|
|
| |
|
|
| |
для: Loki
(22.10.2008 в 09:57)
| | | Мне кажется лучше постараться предвидить возможность угона печенья, чем сидеть и думать что все надежно защищенно и так. | |
| |
|
|
| |
|
|
| |
для: Гость
(27.10.2008 в 17:16)
| | | Безопасность вообще обратно пропорциональна удобству. Хотите безопасности - запретите вообще удаленный доступ к информации: пусть человек приходит лично и с паспортом. В противном случае, придется идти на риск. | |
| |
|
|
| |
|
|
| |
для: Loki
(28.10.2008 в 11:05)
| | | Звучит сурово, но это так и есть. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 19:43)
| | | > Провайдеры действительно практикуют таку фишку? А в России? Или проблема является надуманной?
Не сталкивался с такой проблемой, но к айпи привязываю только сессии админов. Если действительно кража сесси у юзера так опасна, то лучше сразу подумать о SSL.
> Для этого я ему в куки ставлю какую-нибуть метку
Вот это хорошо, хэш какой-нить ставить, например, а не пароль.
> Вопрос в том - как защитить эту метку опять от того что ее может "стырить" злоумышленник?
Ну тут только через дырку в сайте можно украсть, так что закрывайте дыры.
> возможно стоит привязывать ее к браузеру?
Думаю, не стоит. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 19:43)
| | | возможно стоит привязывать ее к браузеру
У меня несколько браузеров и пользуюсь я ими в зависимости от настроения... вы хотите испортить мне настроение? Оставте хотябы возможность смены браузера (кукисов) путём повторной регистрации :-)
сайт востанавливает сеанс с этим пользователем
можно поподробнее, зачем вам это? чем вас не устраивает новый сеанс?
для предотвращения угона у пользователя кук проверяем неизменность его ip адреса
ip адрес, может сменится за время сеанса, но не думаю что это может происходить довольно часто. Но возможность отключения контроля ip адреса нужно предоставить. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 19:43)
| | | пишите в куки никнейм или айди пользователя и какой нибудь уникальный код, который тоже запишите в базу. и по айди вытягивайте код и сверяйте с тем что в куки. | |
| |
|
|
| |
|
|
| |
для: sl1p
(27.10.2008 в 20:56)
| | | В этом случае если пользователь будет заходить из двух мест, его постоянно будет "разлогнивать". Вообщем этот вопрос я уже решил, без привязки к ip или чему-то еще. Мне отсутсвие привязки не очень нравится, но что поделаешь. | |
| |
|
|
| |
|
|
| |
для: sl1p
(27.10.2008 в 20:56)
| | | спасибо! | |
| |
|
|
