Все

Akdmeh · 2009.08.25 12:36

Вот стал вопрос об авторизации.
На сколько безопасно хранить в куках у пользователя id и захешированый пароль?
Так же думаю, будет ли безопасна такая привязка:
$expl=explode('.', $_SERVER['REMOTE_ADDR']);
md5($passw.$expl[0].$expl['1'].strtok($_SERVER['HTTP_USER_AGENT'], ' '));
и этот хеш передать пользователю?
Или не стоит?
Как посоветуешь? smile

Отредактировано Akdmeh (2009.08.25 12:37)

Gemorroj · 2009.08.25 12:46

Akdmeh написал:
На сколько безопасно хранить в куках у пользователя id и захешированый пароль?

, если у пользователя уведут эту куку, то смогут зайти по ним просто передав эту куку от себя. смотрим далее - вариант с проверкой юзер агента и части ip адреса. ну юзер агент тоже подменить не проблема, с ip конечно сложнее. безопаснее всего пользоваться https и авторизовываться с помощью чего-нибудь типа basic авторизации. все эти варианты с хэшированием паролей в куках имеют всегда примерно одинаковую степень защиты.

Akdmeh · 2009.08.25 13:07

Да ну — связыватся с https и бейсик авторизацией нет ни опыта ни желания.
А в пунбб тоже похожая система(потому и спрашиваю):в punbb_cookie хранится засериализированный массив Array ( [0] => 118 [1] => хеш)
Как я понял, в первом — мой id, а во втором...
Что там хешируется, можно узнать? wink

Gemorroj · 2009.08.25 13:22

я неп омню уже что там с авторизацией)) последний раз код этого форума я открывал.... эээ... ну очень давно)
Добавлено спустя 1 минуту 10 секунд:
просто я не особо беспокоюсь на счет того, что у меня там в куках, пусть даже открытый пароль. если человек дошел до того, что засветил свои куки, то ему уже ничего не поможет. ИМХО.

Akdmeh · 2009.08.25 13:32

Я тоже подумал, что если у него вирусом украдут пароли, то форум — это не самое страшное, что может случится.
Вот вконтакте хранит захешированый пароль в куке, а в базе данных — вообще в открытом виде.
И ничего)
Ну привязку к ip не хочется делать, он действительно динамичный, а у пользователей оперы мини могут быть крупные проблемы...
Вот и думаю, что бы передавать, и сравниваю с другими системами)

Отредактировано Akdmeh (2009.08.25 13:33)

Gemorroj · 2009.08.25 13:52

Akdmeh написал:
Вот вконтакте хранит захешированый пароль в куке, а в базе данных — вообще в открытом виде.

откуда такая информация?

Akdmeh · 2009.08.25 15:01

хеш в куке remixpass==твоему паролю в md5.
Раньше так точно было, может за этот месяц поменяли.

А в базе данных в открытом виде — когда даешь запрос пароля на восстановление, то возвращают старый, а не генерируют новый.

Отредактировано Akdmeh (2009.08.25 15:01)

Gemorroj · 2009.08.25 15:53

хе)

Akdmeh · 2009.09.12 14:59

Ну всё же...
Всё никак не решу.

Первичный план.
При авторизации проверяем его пароль с формы с базой, если всё норм - даём пользователю хеш, который есть случайно сгенерированной строкой.
Дальше проверка.

Если в куке будет нужный хеш - то авторизуем.
Если же нет - то не авторизуем.
При нажатии кнопки "выход" хеш будет вытираться, и соответственно все куки будут недействительные.

Плюсы метода - если я замечу взлом и кражу кук - мне просто стоит выйти, и та кука превратится в мусор, а у хакера будет только 32 байта мусора, и даже не будет хеша моего пароля, то есть, даже подбирать не будет чего.

Минусы - можно кражу не заметить.
2) если я буду выходить с одного браузера, то будет выходить сразу со всех.
Ещё одно поле в базе данных.

Как думаешь - подойдёт, или может посоветуешь что-то лучшее?
//кстати, с наступающим!

Gemorroj · 2009.09.12 15:32

эээ с чем наступающим?)
Подойдет конечно. Большинство скриптов именно по такой схеме и работают. Этот вот форум, например.

WAP Мастер Форум

#1 2009.08.25 12:36

Авторизация

#2 2009.08.25 12:46

Re: Авторизация

Akdmeh написал:

#3 2009.08.25 13:07

Re: Авторизация

#4 2009.08.25 13:22

Re: Авторизация

#5 2009.08.25 13:32

Re: Авторизация

#6 2009.08.25 13:52

Re: Авторизация

Akdmeh написал:

#7 2009.08.25 15:01

Re: Авторизация

#8 2009.08.25 15:53

Re: Авторизация

#9 2009.09.12 14:59

Re: Авторизация

#10 2009.09.12 15:32

Re: Авторизация

Дополнительно