Logowanie po raz setny - Forum PHP.pl

Logowanie po raz setny, Słabe punkty rozwiązania

athabus Zobacz profil	10.03.2006, 16:06:57 Post #1
Grupa: Zarejestrowani Postów: 898 Pomógł: 48 Dołączył: 2.11.2005 Skąd: Poznań Ostrzeżenie: (0%)	Ostatnio było wiele dyskusji na temat logowania i zapamiętywania użytkownika. Troche nad tym myślałem i taki mi pomysł wpadł do głowy (pewnie już ktoś wcześniej to wymyślił). Użytkownik po zalogowaniu dostaje ciasteczko na swojego kompa z loginem. Przy kolejnej wejściu na stronę login pobierany jest z ciasteczka i automatycznie user jest logowany. W sesji dajmy na to ustawiamy $_SESSION['user']=$_COOKIE['user']. Szkopuł w tym, że logowanie tym sposobem jest niepełne. Gdy użytkownik chce wykonać jakąś "poważniejszą operację" musi mimo wszystko się zalogować na stronie. Dajmy na to jest druge zmienna np. $_SESSION['zalogowany'], która mówi o tym czy dany user zalogował się w danej sesji. Żeby miała wartość true user musi sie zalogować ręcznie. Do czego ten sposób może sie przydać - np. w moim sklepie użytkownik może od razu widzieć swoje rabaty, ceny dostaw itp. Jednakże jeśli chce już złożyć zamówienie, czy chociażby zobaczyć swój profil (gdzie są dane osobowe, adres wysyłki itp) musi się zalogować. Ostatecznie nie każda wizyta kończy się tranzakcją - user może kompletować swój koszyk np. na raty. Jest to rozwiązanie połowiczne ale chyba bezpieczne. I tu moje pytanie - czy to rozwiązanie rzeczywiście jest bezpieczne czy tylko mi się tak wydaje? Jakie są jego słabe punkty?

Odpowiedzi

athabus Zobacz profil	10.03.2006, 20:38:14 Post #2
Grupa: Zarejestrowani Postów: 898 Pomógł: 48 Dołączył: 2.11.2005 Skąd: Poznań Ostrzeżenie: (0%)	Cytat(ave @ 2006-03-10 18:15:27) a no chyba ze tylko do tego chcesz ciacha uzywac, to wrzuc np [PHP] pobierz, plaintext <?php base64_encode(str_rot13(strrev(zserializowana_tablica[login]+[data_zalozenia_konta]))) ?> [PHP] pobierz, plaintext potem gdy dany user nie ma swojej sesji to szukaj ciasteczka i na jego podstawie stworz mu sesje. a przy zamowieniach wymagaj hasla i bedzie ok. No właśnie o tym myśle - to z jednej strony wygoda dla usera, ale z drugiej jakiś tam spory stopień bezpieczeństwa. Kodowanie w tym wypadku nie wiem czy jest potrzebne (skoro to tylko login), ale na pewno nie zaszkodzi a zawsze utrudnie podejrzenie rabatów. Cytat a to se user przez rozstrzepanie zostawi ciasteczko na obcym kompie, nic juz nie poradze, ewidentna jego wina... Ja tam wolę myśleć także o takich sytuacjach, bo one niestety są bardzie prawdopodobne niż np. włamanie (oczywiście jeśli nie jesteś dużym, znanym serwisem jak np allegro gdzie co chwila pewnie ktoś próbuje robić włamy). A z takim 'połowicznym' zapamiętaniem użytkownika, unika się chyba większości podobnych problemów.

Posty w temacie

athabus Logowanie po raz setny 10.03.2006, 16:06:57

ave nie jest bezpieczne CytatUżytkownik po zalogowaniu... 10.03.2006, 18:50:13

athabus Cytata jak zmieni sobie login w ciasteczku na inny... 10.03.2006, 19:04:40

ave a no chyba ze tylko do tego chcesz ciacha uzywac, ... 10.03.2006, 19:15:27

athabus Cytat(ave @ 2006-03-10 18:15:27)a no chyba ze... 10.03.2006, 20:38:14

DeyV Uważam, że niezależnie od wielkości serwisu należy... 10.03.2006, 23:21:58

TomASS Wydaje mi się, że najbezpieczniejszym rozwiązanie ... 11.03.2006, 00:21:46

athabus Zgadza się, że tak jast najbezpieczniej. Ja też je... 11.03.2006, 10:25:37

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 7.10.2025 - 05:13

Hosting zapewnia