Logowanie na bazie MySQL, a nie na sesjach - bezpieczne? Opcje

[infoo1]

Mam pomysł na zrobienie takiego logowania na bazie:
1. Nie ma sesji, ani cookies.
2. Struktura tabeli z sesjami:

Kod

+---------+------------+--------------+---------+------------+-------------+
| user_id | session_id | user_browser | user_ip | start_time | remember_me |
+---------+------------+--------------+---------+------------+-------------+

Objaśnienia:

• user_id:
  id użytkownika z tabeli prefix_users
• session_id:
  "sid". Planuję go przekazywać w adresie (index.php?mode=blablabla&sid=tu_sid). //W PHP była funkcja generująca sid. Jak się nazywała?
• user_browser:
  $_SERVER['HTTP_USER_AGENT'];
• user_ip:
  $_SERVER['REMOTE_ADDR'];
• start_time:
  time(); przy logowaniu. W konfiguracji ustalam po jakim czasie ma wylogowywać (tabela prefix_config).
• remember_me:
  auto-logowanie

3. Przy każdym odświeżeniu strony sprawdzam, czy zgadza się user_browser, user_ip, start_time, session_id.
4. Remember_me: działa, jeśli jest dozwolone w konfiguracji.
Pytania:
1. Czy to bezpieczne? Coś pominąłem?
2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu?
3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)).

Ten post edytował infoo1 12.12.2008, 22:05:22

[Darti]

A że tak zapytam, jakie są powody do rezygnowania ze zwykłej sesji ?

[infoo1]

1. 2 (i więcej) sesje się zlepiają w jedną, czyli user jest zalogowany w dwóch oknach na tej samej stronie, ale jako inny użytkownik (nie, nie multi-account. To jest konieczne, a nie chcę robić dodatkowych identyfikatorów.).
2. Zwykłe sesje są nieco przestarzałe.
3. Łatwiej hacknąć stronę na zwykłych sesjach, niż dobrze zrobioną na bazie (sprawdzałem).

[erix]

1. 2 (i więcej) sesje się zlepiają w jedną, czyli user jest zalogowany w dwóch oknach na tej samej stronie, ale jako inny użytkownik (nie, nie multi-account. To jest konieczne, a nie chcę robić dodatkowych identyfikatorów.).

Ale to przecież zależy od identyfikatora, a nie od miejsca zapisu danych. Baza jest w tym wypadku jak nośnik - nieważne, czy płyta CD, czy DVD, zero, to zero, jeden, to jeden.

2. Zwykłe sesje są nieco przestarzałe.

Heh, też mi argument. Pliki są szybsze w działaniu niż baza.

Łatwiej hacknąć stronę na zwykłych sesjach, niż dobrze zrobioną na bazie (sprawdzałem).

Udowodnij. Można mieć zrobioną na bazie i bardziej podatną na ataki niż w przypadku standardowego mechanizmu. To zależy, co i jak sprawdzasz, ale nie od miejsca zapisu! To, że zdumpuję dane do bazy, to nic nie zmieni. Sam fakt innego miejsca zapisu niewiele tu da.

Ten post edytował erix 12.12.2008, 22:39:49

[Darti]

hmm
ok, z Twojego rozwiązania wychodzi mi jedynie, że jedynym zabezpieczeniem to i tak jest IP (zabezpieczenie przed używaniem dwóch kont na raz).

1) jak będę chciał korzystać z dwóch kont to użyję proxy - prosty hack
2) jak zechcę legalnie pograć z sąsiadem i dzielimy jedno łącze z kablówki to nie pogramy równocześnie - poważny minus

A tak poza tym - Twoje rozwiązanie czy sesja to praktycznie to samo (kiedyś nr sesji przekazywany był w pasku adresu, czyli tak jak u Ciebie) a ile więcej zachodu ? Syzyfowa praca.
Łatwiej ustaw sobie sessid przekazywane w pasku adresu w konfiguracji PHP i wyjdzie Ci dokładnie to samo.

[infoo1]

1. Nie, nie pograć. To program, nie gra.
2. Tu mogą być "multi-accounts". A nawet są. Celowo. Nie chce mi się tłumaczyć dlaczego, za dużo do tłumaczenia.
3. Wiem, że można
4. Nie mogę, nie jestem Adminem serwera (a funkcja ini_set() jest zablokowana).
5. Pliki łatwo zniszczyć.
6. Nie chce mi się tutaj wpisywać wszystkiego, co zrobiłem aby hacknąć. Za dużo pisania. Poza tym napisałem "dobrze zrobioną", więc nic tego nie hacknie .
7. Wiem, że zależy od id, ale w bazie łatwej to zrobić.
8.

Pytania:
1. Czy to bezpieczne? Coś pominąłem?
2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu?
3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)).

9. Czy to jest optymalne (generowanie sid):

[PHP] pobierz, plaintext 
<?php
$chars  = 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890';
      $number = 40;
      $strlen = strlen($chars)-1;
 
      $i   = 0;
      $sid = '';
 
      while ($i < $number)
      {
        $id   = rand(0,$strlen);
        $sid .= mb_substr($chars,$id,1);
        $i++;
      }
?>
[PHP] pobierz, plaintext 

[Darti]

Ależ wszystko w porządku, sam nie polecam zachowywania danych w sesjach po stronie klienta, chodzi mi jedynie o to, że identyfikator sesji generowany domyślnie przy starcie sesji jest na tyle dobry, że nie trzeba odkrywać ameryki i wprowadzać swojego, 32 bajty czy 40 bajtów - ilość kombinacji w obu przypadkach astronomiczna.
Niezaprzeczalny plus (czy też minus) Twojej metody to przenośność między przeglądarkami - otworzę stronę w FF, zaloguję się, skopiuje adres do IE i mam ciągle tą samą sesję.

[infoo1]

Nie do końca . Jeszcze jest $_SERVER['HTTP_USER_BROWSER'];
Ogólnie nigdzie nie ma być niczego z $_SESSION, session_start() itd., czyli standardowych sesji.
A teraz wróćmy do moich 3 pytań

[Darti]

IE nie przekazuje sesji między oknami (czy też FF bo już nie pamiętam), ale to wciąż ta sama przeglądarka.

1) Bezpieczne, o ile porządnie zabezpieczysz pozostałą część serwisu (z tym że wywołania http (adres z numerem sesji) są łatwiejsze do zdobycia niż nagłówki http dla kogoś kto nasłuchuje (niewiele ale zawsze), z tą uwagą że cache przeglądarki pamięta adresy a nie zmienne sesyjne
2) Można, ale nie zawsze dostaniesz te dane bo nie zawsze są wysyłane (nie ma na to RFC dlatego nie ma w manualu)
3) ja ZAWSZE daje czas domyślny trwania sesji (boję się kafejek internetowych i głupoty niewylogowujących się userów jak ognia)

Ten post edytował Darti 12.12.2008, 23:40:29

[infoo1]

0) Ale jak sprawdzam browsera, to pokaże coś innego. Przykład:
pod FX mam:

Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

a pod badzIEwiem:

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)

1) Sprawdzam browsera, IP, sesję w $_GET['sid'] i XFF. Przykłady:

[PHP] pobierz, plaintext 
<?php
function get_user_id()
      {
        global $db;
        $user_browser = $_SERVER['HTTP_USER_AGENT'];
        $user_ip      = $_SERVER['REMOTE_ADDR'];  
        $sid          = $_GET['sid'];
  
        $sql   = "SELECT user_id FROM ".SESSIONS_TABLE." WHERE session_id='".$sid."' AND user_browser='".$user_browser."' AND user_ip='".$user_ip."'";
        $query = $db->sql_query($sql);
        $arr   = $db->sql_fetcharray($query);
  
        while ($rec = $arr){$user_id = $rec[0];}
  
        return $user_id;
      }
  
      function is_session()
      {
        $sql   = "SELECT user_id FROM ".SESSIONS_TABLE." WHERE session_id='".$sid."' AND user_browser='".$user_browser."' AND user_ip='".$user_ip."'";
        $query = $db->sql_query($sql);
        $arr   = $db->sql_fetcharray($query);
  
        $is_session = false;
        while ($rec = $arr){$is_session = true;}
  
        return $is_session;
      }
?>
[PHP] pobierz, plaintext 

get_user_id - pobiera id użytkownika; is_session - sprawdza, czy user jest zalogowany
2) Wiem, że nie zawsze dostanę te dane
3) Fakt, tutaj userzy mogą umożliwić innym hacknięcie. Na szczęście do mojego programu dostęp jest tylko z jednego budynku (serwer, a do niego podłączone komputery). Zastanawiam się nad 30 minutami. To powinno wystarczyć.

[Darti]

oj ... miałem na mysli dwa okna IE = dwie różne sesje (bądź dwa okna FF to dwie różne sesje), nie pamiętam czy ten efekt jest pod FF czy pod IE ale chyba w obu ...

poza tym funkcja is_session() zawsze zwróci true, o ile nie zawiesi procesu (to samo w get_user_id)
i błąd SQL (chyba że korzystasz z magicznych zmiennych)

Ten post edytował Darti 13.12.2008, 00:11:34

[infoo1]

oj ... miałem na mysli dwa okna IE = dwie różne sesje (bądź dwa okna FF to dwie różne sesje), nie pamiętam czy ten efekt jest pod FF czy pod IE ale chyba w obu ...

Mówiłem o tym:

otworzę stronę w FF, zaloguję się, skopiuje adres do IE i mam ciągle tą samą sesję.

poza tym funkcja is_session() zawsze zwróci true, o ile nie zawiesi procesu (to samo w get_user_id)

Dlaczego? Co zrobić, aby działało?

magicznych zmiennych

A co to? Chodzi o define("SESSIONS_TABLE", $config['prefix'].'sessions');, a potem w zapytaniu:

$sql = "SELECT user_id FROM ".SESSIONS_TABLE." WHERE session_id='".$sid."' AND user_browser='".$user_browser."' AND user_ip='".$user_ip."'";

[Darti]

Dlaczego? Co zrobić, aby działało?

chodzi mi o to:

[PHP] pobierz, plaintext 
<?php
while ($rec = $arr){$is_session = true;}
?>
[PHP] pobierz, plaintext 

przypisanie $rec = $arr zawsze da true bo się udało, więc pętla while będzie nieskończona ....
http://pl.php.net/manual/pl/control-structures.while.php

no i skąd bierzesz zmienne $sid, $user_browser itd w funkcji is_session ?

Ten post edytował Darti 13.12.2008, 00:43:54

[infoo1]

no i skąd bierzesz zmienne $sid, $user_browser itd w funkcji is_session ?

Mam to, co w get_user_id();, ale nie podawałem tego samego.

przypisanie $rec = $arr zawsze da true bo się udało, więc pętla while będzie nieskończona ....

Zawsze stosuję takie coś:

[PHP] pobierz, plaintext 
<?php
$query = $db->sql_query($sql);
       $arr   = $db->sql_fetcharray($query);
 
       while ($rec = $arr){
//
}
?>
[PHP] pobierz, plaintext 

I działa.


Edit:
Więc bezpieczne?

Ten post edytował infoo1 18.12.2008, 19:38:34

[pest]

Więc cała ta zabawa ma na celu:

1. przeniesienie miejsca przechowywania danych sesyjnych z pliku do bazy
2. ograniczenie ilości zmiennych przechowywanych w sesji tylko do zmiennej user_id
3. ograniczenie możliwości przesyłania zmiennej session_id tylko do parametru _GET
4. dodanie dodatkowych informacji do sesji takich jak IP i USER_AGENT

Coś pominąłem ?

Podsumowując (bezpieczeństwo i użyteczność):

1. - ani grzeje ani ziębi, jak ktoś tutaj już napisał, to tylko miejsce przechowywania
2. - jeśli to ma służyć tylko do przechowywania id usera, a wszystkie jego zmienne byłyby wczytywane dopiero w kolejnym zapytaniu to w porównaniu do mechanizmu sesji są już 2 zapytania do bazy zamiast jednego odczytu pliku
3. - po co ograniczać możliwość przesyłania session_id tylko do _GET, skoro sesja wbudowana w php może być przekazywana zarówno w _GET jak i _COOKIE (przy czym _COOKIE jest dużo bezpieczniejsze ze względu na brak identyfikatora w adresie)
4. - niby fajny pomysł przy kradzieży session_id należałoby mieć też ten sam IP... niestety są użytkownicy w sieci co mają zmienne IP i może im się zmieniać kilka razy na zalogowanie, co do danych USER_AGENT, to już lepiej bo "nie szkodzi", ale też dużo nie pomaga, wystarczyłoby mieć tą samą przeglądarkę (wersję)

[ucho]

Strasznie to wszystko skomplikowane - do podstawowego celu, czyli wiele sesji w jednej przeglądarce wystarczy pewnie

Kod

session.use_trans_sid = 1
session.use_cookies = 0
session.use_only_cookies = 0

w php.ini lub ustawione za pomoca ini_set(). Ale imho przechowywanie identyfikatora sesji w SID jest dość niebezpieczne - świetnie je widać choćby w logach wszelakich proxy. Ponadto użytkownicy zawsze wysyłając linki znajomych podają je z SIDem - a szansa, że są w jednej sieci, i mają identyczną przeglądarkę mimo wszystko jest całkiem duża.

[infoo1]

To rezygnuję z sid w linku.

# ograniczenie ilości zmiennych przechowywanych w sesji tylko do zmiennej user_id

Nie, całkowite wywalenie standardowych sesji.

# ograniczenie możliwości przesyłania zmiennej session_id tylko do parametru _GET

Z tego rezygnuję.

dodanie dodatkowych informacji do sesji takich jak IP i USER_AGENT

To tylko ma służyć do identyfikacji użytkownika.


Jak to jest zrobione w phpBB3? W bazie jest IP, USER_AGENT itp. Po zmianie IP, wyczyszczeniu cookies itd. sesja nadal istnieje (jeśli ma się włączoną opcję "zapamiętywania").

[infoo1]

Nie zawsze ma się dostęp do takich rzeczy


Jednak wracam do starego sposobu:

[PHP] pobierz, plaintext 
<?php
 class user
  {
    var $userdata = array();
 
 
    function session_begin()
    {
      $this->assign_userdata();
      $this->assign_session_userdata();
    }
 
    function session_kill()
    {
      unset($_SESSION);
      unset($this->userdata);
    }
 
    function assign_userdata()
    {
      global $db;
      $sql = "SELECT * FROM ".USERS_TABLE." WHERE user_id='".$this->get_user_id()."'";
      $sql = $db->sql_query($sql);
      $i++;
      while ($row = $db->sql_fetcharray($sql))
      {
        foreach ($row as $key => $value)
        {
          $this->userdata[$key] = $value;
        }
      }
 
      if($this->userdata['user_id'] !== 0)
      {
        $this->userdata['is_registered'] = true;
      }
      else
      {
        $this->userdata['is_registered'] = false;
      }
    }
 
    function assign_session_userdata()
    {
      $_SESSION['user_id']    = $this->userdata['user_id'];
      $_SESSION['user_login'] = $this->userdata['user_login'];
      $_SESSION['user_pass']  = $this->userdata['user_pass'];
      $_SESSION['user_grade'] = $this->userdata['user_grade'];
    }
 
    function get_user_id()
    {
      if(isset($_SESSION['user_id']))
      {
        return $_SESSION['user_id'];
      }
      else
      {
        $_SESSION['user_id'] = 0;
        return 0;
      }
    }
 
    function login($login,$pass)
    {
      global $db, $main;
      $browser = $_SERVER['HTTP_USER_AGENT'];
      $ip      = $_SERVER['REMOTE_ADDR'];
      $sid     = $this->generate_sid();
 
      $sql = "SELECT user_id FROM ".USERS_TABLE." WHERE user_login='".$login."' AND user_pass='".$password."'";
      $sql = $db->sql_query($sql);
      while ($row = $db->sql_fetcharray($sql))
      {
        $_SESSION['user_id'] = $row['user_id'];
      }
      $main->redirect($main->generate_url('UCP',true,$sid));
      return true;
    }
 
    function register()
    {
      global $main;
 
      if(empty($_POST['login'])){
        $errcodes[] = 'EMPTY_LOGIN';
      }
      if(strlen($_POST['login']) > $main->config['login_max_strlen']){
        $errcodes[] = 'LONG_LOGIN';
      }
      if(strlen($_POST['login']) < $main->config['login_min_strlen']){
        $errcodes[] = 'SHORT_LOGIN';
      }
 
 
      if(empty($mail))
      {
        $errcodes[] = 'EMPTY_MAIL';
        $check_mail = false;
      }
      if ($check_mail && !eregi("^[_a-z0-9-]+(.[_a-z0-9-]+)*@[a-z0-9-]+(.[a-z0-9-]+)*(.[a-z]{2,4})$", $_POST['mail']))
      {
        $errcodes[] = 'INVALID_MAIL';
      }
 
 
      if(empty($_POST['pass'])){
        $errcodes[] = 'EMPTY_PASS';
      }
      if(strlen($_POST['pass']) > $main->config['pass_max_strlen']){
        $errcodes[] = 'LONG_PASS';
      }
      if(strlen($_POST['pass']) < $main->config['pass_min_strlen']){
        $errcodes[] = 'SHORT_PASS';
      }
 
 
      if(count($errcodes) > 0)
      {
        $sql = "";
      }
      else
      {
        global $template, $lang;
 
        foreach ($errcodes as $key => $value)
        {
          /*switch ($value)
          {
            case 'EMPTY_LOGIN':
              $value2 = $lang->register['EMPTY_LOGIN'];
            break;
 
            case 'LONG_LOGIN':
              $value2 = $lang->register['LONG_LOGIN'];
            break;
 
            case 'SHORT_LOGIN':
              $value2 = $lang->register['SHORT_LOGIN'];
            break;
 
            case 'INVALID_MAIL':
              $value2 = $lang->register['INVALID_MAIL'];
            break;
 
            case 'EMPTY_MAIL':
              $value2 = $lang->register['EMPTY_MAIL'];
            break;
 
            case 'EMPTY_PASS':
              $value2 = $lang->register['EMPTY_PASS'];
            break;
 
            case 'LONG_PASS':
              $value2 = $lang->register['LONG_PASS'];
            break;
 
            case 'SHORT_PASS':
              $value2 = $lang->register['SHORT_PASS'];
            break;
 
            default:
              $value2 = $lang->register['DEFAULT'];
            break;
          }
          $errmsgs[$key] = $value2; */
          $errmsgs[$key] = $lang->register[$value];
        }
 
        foreach ($errmsgs as $key => $value)
        {
          $template->assign_block_vars('registration_errors',array(
            'ERROR' => $value
          ));
        }
      }
    }
 
    function generate_sid()
    {
      $chars  = 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890';
      $number = 40;
      $strlen = strlen($chars)-1;
 
      $i   = 0;
      $sid = '';
 
      while ($i < $number)
      {
        $id   = rand(0,$strlen);
        $sid .= mb_substr($chars,$id,1);
        $i++;
      }
      return $sid;
    }
  }
?>
[PHP] pobierz, plaintext 

2 pytania:

1. Bezpieczne?
2. Optymalne?

[Mize]

Klasa User, u mnie jest modelem, a do obsługi mechanizmu sesji mam osobna klase dfSession.
Warto to rozdzielić, również u Ciebie.
Poza tym, jeśli masz dostęp do PHP5 to warto by napisać to właśnie pod tą wersje.

[infoo1]

Klasa User, u mnie jest modelem, a do obsługi mechanizmu sesji mam osobna klase dfSession.

Zrobię tak.

Poza tym, jeśli masz dostęp do PHP5 to warto by napisać to właśnie pod tą wersje.

Mam. Co tam jest nie z PHP5?