Forum PHP.pl

Jesli chodzi o bezpieczenstwo. To jesli dobrze zrozumialem, to przy zapisywaniu w cookie tylko czy uzytkownik jest zalogowany, nie trzeba znac nawet hasla Wystarczy ustawic sobie recznie w cookie, ze jestem zalogowany jako admin i nie ma mocnych

Ja uzywam sesji, bo mysle, ze sa bazpieczniejsze. Ciezej sie wlamac, jesli nie ma sie zakodowanego hasla. Czasem wystarczy blad przegladarki i cookie nie zostanie usuniety i kazdy kto bedzie chcial bedzie mial dostep do konta. W cookie zapisuje tylko, jesli uzytkownik chce byc "zapamietany", ale wtedy tez tylko zakodowane informacje.

bezpieczniejsze od czego? mechanizm sesji uzywa cookies! reszty nie bede komentowac...

Ten post edytował sopel 28.02.2006, 15:18:52

Nie wiem, jak na innych serwerach, ale u mnie w cookie przechowywane jest tylko id sesji. Nawet jesli zostanie nie usuniete, to przeciez sesja ma maksymalny czas trwania.

Jesli w cookie zostanie user i haslo to przepadles :/ Nawet jesli zostanie w wersji zakodowanej, to moze dane te moga latwo wpasc w niepowołane ręce. Taka osoba majac tylko zakodowana wersje hasla, moze je sobie ustawic jako cookie i zmienic haslo na inne, czyli przejac kontrole nad kontem.

Chyba nie mowie zle Jesli tak to prosze mnie poprawic, nie uwazam sie za znawce tematu, to tylko moje przemyslenia.

Ten post edytował nickers 28.02.2006, 15:30:31

a, sorry, zle zrozumialem twojego wczesniejszego posta. w zupelnosci sie zgadzam, dlatego jestem przeciwny trzymaniu loginu i hasla (nawet zakodowanego) w cookies, zwlaszcza ze nie potrafie znalezc powodu, dla ktorego mialoby byc to lepsze i bezpieczeniejsze od trzymania samego id sesji.

Nie zapominajmy o tym, ze przegladarka przy kazdym wywolaniu wysyla do serwera zawartosc cookies, wiec trzymanie tam tak poufnych danych jak hasla, nawet w zakodowanej postaci, nie jest dobrym pomyslem.
Ktos, kto podslucha sobie na snifferze tylko maly fragment sesji uzytkownika, od razu uzyskuje dostep do jego zakodowanego hasla i Bog wie czego jeszcze, co programista raczyl nieopatrznie w cookie umiescic.

Tak i dlatego hasla w ciasteczkach powinny byc trzymane tylko na życzenie użytkownika, gdy wybierze np. opcję Zapamiętaj mnie (zaloguj automatycznie)

ale dlaczego i po co? powstrzymywałbym się o przesyłania hasła do usera kiedykolwiek. lepiej chyba trzymać jakiś losowo wygenerowany id, który jest sprawdzany przy wejściu na stronę.

Jak mowilem haslo, mialem na mysli hasha z tego hasla Moje niedomowienie.

@sopel mógłbyś mi wytlumaczyc ten mechanizm. Nie jestem pewien czy dobrze Cię zrozumiałem.
Chodzi ci oto, że generujemy id, zapisujemy w bazie i to samo id do ciastka? POtem tylko porownujemy? A gdy sie koles tak zaloguje to znowu zmieniamy?

ok. czyli robie tak:

[PHP] pobierz, plaintext 
<?php
// to oczywiscie bedzie z formularza
$login= "login"; 
$haslo= "haslo";
 
$zapytanie = sql("SELECT * FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login' ");    
while ($rekord = mysql_fetch_array($zapytanie)) 
  {   
$kontrahenci_haslo = $rekord['kontrahenci_haslo'];
if($haslo == kontrahenci_haslo){
setcookie('login', '$login');
setcookie('haslo', '$haslo');
}
}
 
?>
[PHP] pobierz, plaintext 

A pozniej za kazdym razem sprawdzac tak samo tylko login i hasło z cookies?
I oczywiscie w md5() wrzuce haslo tylko jak pozniej wysłac uzytkownikowi hasło ktore jest zakodowane md5()?

Ten post edytował wozniak 4.03.2006, 13:59:06

Jeżeli tak to na identycznej zasadzie działa ta klasa sesji (napisana dawien dawno pod mini serwis )

[PHP] pobierz, plaintext 
<?php
define ('SESSION_TIME', 3600);
 
class session {
 
	var $session_id;
	var $values = array ();
	var $insert = 0;
 
	function session () {
		if (strlen($_COOKIE['session_id']) == 32) {
			$this -> session_id = $_COOKIE['session_id'];
			setCookie ('session_id', $this ->session_id, time()+ SESSION_TIME);
			$query = mysql_query ("SELECT `values` FROM sessions WHERE `id` = '{$this -> session_id}'");
			$row = mysql_fetch_array ($query);
			$this -> values = unserialize ($row['values']);
		}
		else {
			$this -> session_id = md5 (time ());
			setCookie ('session_id', $this -> session_id, time()+ SESSION_TIME);
			$this -> insert = 1;
		}
	}
 
	function getValue ($name){
		return $this -> values [$name];
	}
 
	function setValue ($name, $str) {
		$this -> values [$name] = $str;
	}
 
	function sessionClose () {
		$values = serialize ($this -> values);
		$time = time ();
		$maxTime = $time - SESSION_TIME;
		if ($this -> insert)
			mysql_query ("INSERT INTO `sessions` (`id`, `values`, `time`) VALUES ('{$this -> session_id}', '$values', '$time')");
		else
			mysql_query ("UPDATE `sessions` SET `values`='$values', `time` = '$time' WHERE `id` = '{$this -> session_id}'");
		mysql_query ("DELETE FROM `sessions` WHERE `time` < '$maxTime'");
	}
 
}
?>
[PHP] pobierz, plaintext 

Clasa zapisuje dane z sesji do bazy jako zserializowana tablica, a po przejściu na inną stronę i załadowaniu sesji (jeżeli ta istnieje) dane są pobierane z bazy i odserializowane. Bardzo łatwo zrobić za jej pomocą takie logowanie ...

Ten post edytował Levabul 4.03.2006, 15:01:12

Mam teraz taki problem jak mam hasło zapisane md5 i uzytkownik zapomni hasło to jak mam mu je wysłac?jak odkodowac?Chyba nie da sie tak? jedyna mozliwosc to utworzenie nowego i wysłanie.

Wyslij mu hasha, następny razem będzie pamiętać by nie zapomnieć
a na poważnie
Dokładnie Dobrze by było, że gdy tylko koleś zaloguje się na to haslo, wyskoczyl mu komuniakt, ze musi je zmienic na swoje.

dokladnie tak jak napisales. oczywiscie dobrze by bylo tez trzymac identyfikator albo login samego usera albo cokolwiek po czym go zidentyfikujemy (mozna i bez tego, ale musimy dbac zeby id w bazie bylo unikalne). samo id jest tylko zwyklym zabezpieczeniem.

mechanizm jest praktycznie bliznaczy do tego z zapisywaniem do hasla loginu i zhashowanego hasla - mi sie po prostu nie podoba fakt uzywania do tego hasla (nawet zahashowanego).

To rozwiązanie jest powiedzmy ciut lepsze od trzymania hasha hasla, ale tylko w przypadku gdy za kazdym razem generujemy to id. Ale jak pisalem tylko ciut lepsze i nie wiem gdzie to jest stosowane. Jesli jakiś serwis bardzo chce miec bezpiecznie, to wogole nie udestępni opcji zapamiętywania.
Wadą takiego rozwiązania jest to, że np.:
zapamiętasz się na jednym kompie/przeglądarce. Za jakis czas zapamietasz sie na innym kompie/przegladarce (powiedzmy komp w pracy i w domu). No i jak się zalogujesz spowrotem na pierwszym, to juz nie wejdziesz z automata, bo identyfikator juz bedzie inny. Takie szukanie dziury w całym

Zrobiłem takie logowanie:
Logowanie:

[PHP] pobierz, plaintext 
<?php
if(isset($login) &&($haslo)){
$query = sql("SELECT kontrahenci_login FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login'");    
$rekord = mysql_num_rows($query);
 
if($rekord == '1' ){
 
$ip = $_SERVER[ 'REMOTE_ADDR' ];
session_start();
$_SESSION['login']    = $login;
$_SESSION['haslo']    = $haslo;
$_SESSION['ip']    = $ip;
 
print("Zalogowany jako $login z ip:$ip");
echo '<br /><a href="1.php?pic=dodaj&PHPSESSID='.session_id().'">strona 2</a>';
}
}
?>
[PHP] pobierz, plaintext 

Sprawdzenie czy zalogowany:

[PHP] pobierz, plaintext 
<?php
session_start();
 
if(isset($_SESSION['login'])&& ($_SESSION['haslo'])){
$ipa = $_SERVER[ 'REMOTE_ADDR' ];
$dwa = $_SESSION['ip'];
if($ipa == $dwa){
$login = $_SESSION['login']; $haslo = $_SESSION['haslo'];
$query = sql("SELECT kontrahenci_login FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login'");    
$rekord = mysql_num_rows($query);
 
if($rekord == '1' ){
print("ok3245");
echo '<br /><a href="1.php?pic=test&PHPSESSID='.session_id().'">strona 2</a>';
 
}
}
}
?>
[PHP] pobierz, plaintext 

Dodałem do sesji IP bo jak ktos by dał link innej osobie to tamta osoba od razy była by zalogowana.

Ten post edytował wozniak 14.03.2006, 01:22:04

[PHP] pobierz, plaintext 
<?php
$query = sql("SELECT kontrahenci_login FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login'");    
 
?>
[PHP] pobierz, plaintext 

Logujesz uzytkownika tylko na podstawie loginu. a co z haslem? Widze, ze w ifie sparawdzasz istnienie hasla, ale w zapytaniu juz go olałeś. ciut niebezpiecznie.

Zapomniałem dodac;)Ale takie logowanie moze byc?

moze byc. oczywiscie zalezy jeszcze jak dodasz do tego haslo

w tym miejscu powiem jeszcze, ze jesli to jest zwykly serwisik, bez większego bezpieczenstwa, to jesli koles jest juz zalogowany i ma to w sesji, to w zasadzie nie musisz sprawdzac jeszcze raz w bazie. troche po php programmerze pojechalismy w tej kwestii, ale mowiliśmy tam o serwisach wymagających większego bezpieczenstwa, aczkolwiek jawnie nie powiedziano o tym. jesli php programmer mial na mysli takie proste aplikacje, to faktycznie nie trzeba biegac ciągle do bazy. kwestia podejscia do bezpieczenstwa w danej aplikacji