 Automatyczne logowanie - co przechowywać w cookies?, Dotąd przechowywałem hash hasła, ale chyba są bezpieczniejsze sposoby? |
| Automatyczne logowanie - co przechowywać w cookies?, Dotąd przechowywałem hash hasła, ale chyba są bezpieczniejsze sposoby? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 230 Pomógł: 3 Dołączył: 8.01.2008 Ostrzeżenie: (10%) 
 |
Ostatnio zajrzałem w ciastka youtube.com - no i tam, przy ciastku automatycznego logowania, jest bardzo długi ciąg znaków, nie wydaje mi się żeby to był hash hasła. To jest chyba unikalny ciąg znaków, który zostaje przyporządkowany każdemu użytkownikowi podczas logowania? I używany jest właśnie do automatycznego logowania, dzięki czemu nie musimy wysyłać do ciastek hasha hasła? No i podczas logowania, szukany jest w bazie użytkownik o takim hashu?
Hm, a nie prościej po prostu przechowywać tam ID użytkownika? Czy jednak istnieje jakiś sposób podrobienia ciastek? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 2 921 Pomógł: 269 Dołączył: 11.08.2005 Skąd: 127.0.0.1 |
Nie wiem jak to jest na youtube, napisze CI jak ja to robię.
W ciastku trzymam identyfikator sesji, składający się z id użytkownika, kilku dodatkowych danych (ze względów bezpieczeństwa nie napiszę jakich) oraz klucza. Wszytko to leci przez md5 i przypisywane jest do użytkownika. Następnie sprawdzam, czy to co jest w ciastku pasuje do tego co jest w bazie. Dodatkowym zabezpieczeniem jest sprawdzenie co jakiś czas ciastka z wygenerowanym na żądanie hashem (nie pobranym z bazy, a stworzonym z aktualnych danych). edit Cytat Hm, a nie prościej po prostu przechowywać tam ID użytkownika? Czy jednak istnieje jakiś sposób podrobienia ciastek? Tak. Wystarczy pierwsza lepsza wtyczka do Firefoxa. Jeśli w ciastku będzie tylko id użytkownika, wówczas każdy będzie mógł sobie stworzyć ciastko z dowolnym id.
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 230 Pomógł: 3 Dołączył: 8.01.2008 Ostrzeżenie: (10%)
|
Cytat(batman @ 17.12.2008, 18:56:41 )  Dodatkowym zabezpieczeniem jest sprawdzenie co jakiś czas ciastka z wygenerowanym na żądanie hashem (nie pobranym z bazy, a stworzonym z aktualnych danych). Ale po co? Skoro w bazie ma być zapisany ten hash tych pomieszanych danych, to one się nie zmienią, więc po co sprawdzać je z aktualnymi danymi? Chyba że ten hash ma się zmieniać - ale wtedy ktoś, kto ma włączone automatyczne logowanie, przy tym sprawdzaniu (jeżeli jakieś dane się zmieniły), nie zostanie zalogowany. |
|
|
|
Apocalyptiq Automatyczne logowanie - co przechowywać w cookies? 17.12.2008, 18:43:39 
erix A nie wystarczyłoby przedłużenie ważności ciastka ... 17.12.2008, 19:11:33 batman Cytat(erix @ 17.12.2008, 19:11:33 ) A... 17.12.2008, 19:29:06 erix Wiesz, nigdy nie polegam na samym SID. ;P 17.12.2008, 19:32:19 batman Cytat(Apocalyptiq @ 17.12.2008, 20:21... 17.12.2008, 20:28:20 bełdzio tu byłem ;-)
http://www.beldzio.com/autologowani... 17.12.2008, 20:34:56 Apocalyptiq Dzięki bełdzio za artykuł Zrobiłem to autologowan... 17.12.2008, 21:49:59 maly_pirat Sorka za odświeżenie starego tematu, ale jestem na... 9.06.2009, 12:22:14 fifi209 Może tak $_COOKIE sprawdzisz? 9.06.2009, 12:29:50 maly_pirat Ogólnie na szybko skleiłem taki kodzik, wszystko d... 9.06.2009, 13:18:47 
erix [PHP] pobierz, plaintext <?phpif(isset... 9.06.2009, 13:23:41  |
|
Aktualny czas: 18.10.2025 - 14:21 |
