Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: безопастная система аутентификации.обсудим?

Сообщения:  [1-10]    [11-20]   [21-30]   [31-40]   [41-50]  [51-53] 

 
 автор: Eugene77   (14.08.2008 в 21:07)   письмо автору
 
   для: sanitar   (13.08.2008 в 21:50)
 

Сессия подходит, например, для ввода капчи в скрипте регистрации.
Уже с некоторой натяжкой, но всё же она может пригодиться для ввода короткого поста на форуме.

  Ответить  
 
 автор: sanitar   (13.08.2008 в 21:50)   письмо автору
 
   для: Eugene77   (13.08.2008 в 19:49)
 

как раз закрытие окна можно перехватить яваскриптом,так что этот вариант тоже можно предусмотреть.

>Пользоваться сессией, вообще, на мой взгляд, стоит в исключительных ситуациях, где >именно она подходит.

а где на ваш взгляд она подходит?

  Ответить  
 
 автор: Eugene77   (13.08.2008 в 19:49)   письмо автору
 
   для: sim5   (12.08.2008 в 17:00)
 

>"Пряники" могут достаться вообще без всяких усилий. Не обязательно, что каждый пользователь за компьютером работает под парольным доступом в нем. И не обязательно такая работа есть "обязательство" служащих на предприятиях, и не обязательно только один служащий может работать за таким компьютером. Но то, что масса таких служащих во время работы "гуляет" в интернете, регистрируется, делает покупки и прочее, это точно. Особенно такая беспечность у женщин, так что записав свои "пряники" такому пользователю, ими же может полакомиться и другой :)

Вот, как мне кажется, очень верно вы заметили!
Есть ещё "сжиматели траффика" которые открывают мою станицу в одном из своих фреймов, страницы платёжных систем, открываемые в дочернем окне...

Опираться на секретность куки не кажется разумным.

Пользоваться сессией, вообще, на мой взгляд, стоит в исключительных ситуациях, где именно она подходит. У меня была проблема с настройкой файервола - я отключался от Интернета после загрузки каждой страницы... Каждый раз пароль вводить?

Более-менее, на мой взгляд, вы решите продлему безопасной аутентификации, если при каждом запросе страницы будете класть новую шифрованную куку и её же расшифрованную в базу для сравнения прежде чем послать новую.
При этом, если происходит запрос от логина с неправильной кукой, то динамическая кука в базе должна обнуляться и тогда, даже если перехват произошёл, хакеру не удастся довести дело до конца. У него будет запрошен пароль. Исключение составляет случай когда перехват куки происходит после загрузки пользователем последней страницы или при слишком медленном темпе загрузки страниц. Но в первом случае - сам виноват - надо жать на кнопку "выход". Во втором случае, надо предусматривать яву, периодически запрашивающую новые куки с сервера.

  Ответить  
 
 автор: mechanic   (13.08.2008 в 10:52)   письмо автору
 
   для: amigo62   (12.08.2008 в 23:52)
 

помните! Чак Норрис настолько суров, что обойдет любую авторизацию

  Ответить  
 
 автор: amigo62   (12.08.2008 в 23:52)   письмо автору
 
   для: sl1p   (12.08.2008 в 23:00)
 

Куки, автологин (сессии можно считать их разновидностью) :) оба способа уязвимы. Есть еще SSL, но ставить такие системы например на форум как минимум нерентабельно

  Ответить  
 
 автор: AcidTrash   (12.08.2008 в 23:16)   письмо автору
 
   для: Николай2357   (12.08.2008 в 22:21)
 

>а к админке длительный вход вроде нонсенс...
Почему нонсенс, увеличьте время действия сессии.
Скажем
ini_set("session.gc_maxlifetime", 3600);

Увеличит время действия сессии на час.

P.S. Второй параметр - секунды.

  Ответить  
 
 автор: sl1p   (12.08.2008 в 23:00)   письмо автору
 
   для: amigo62   (12.08.2008 в 22:23)
 

ну должен же всё таки быть какойто нормальный способ для длительного авторизаО_о

  Ответить  
 
 автор: amigo62   (12.08.2008 в 22:23)   письмо автору
 
   для: sl1p   (12.08.2008 в 21:56)
 

Она кстати не "одноразовая" :) На сеанс работы ее хватит, а дольше - возникает опасность ее несанкционированного использования (паранойя?:-D). Есть один бесплатный хостинг, где сессия жила дольше суток. Сайты на нем щелкали как орехи (меня в то время тоже на него угораздило).

  Ответить  
 
 автор: Николай2357   (12.08.2008 в 22:21)   письмо автору
 
   для: sl1p   (12.08.2008 в 21:56)
 

Наверное никак.
< Хотя, конечно тут все зависит от задачи, ну к примеру при реализации CMS?
Вопрос вроде так стоял, а к админке длительный вход вроде нонсенс...
ЗЫ Не туда попало, выше постом...

  Ответить  
 
 автор: amigo62   (12.08.2008 в 22:20)   письмо автору
 
   для: sl1p   (12.08.2008 в 21:56)
 

Горячая тема:) не могу не поделиться фишкой, которую применяю.
Как известно, опасность применения сессий в том, что злоумышленник может похитить SESSID (брутфорс, реферрер, троян и т.д.). Большинство таких взломов - это не следствие "кривизны" кода, а халатность или "чайничество" пользователя. Но можно сделать так, что кража SESSID не будет иметь смысла: просто при каждом запросе считывать данные из текущей сессии, уничтожать ее, создавать сессию с новым SESSID (желательно заданным с помощью uniqid();) и помещать эти данные в нее. Тут уже практически у любого пользователя воровать SESSID не имеет смысла - в 99% сессия окажется истекшей.

  Ответить  

Сообщения:  [1-10]    [11-20]   [21-30]   [31-40]   [41-50]  [51-53] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования