Bezpieczeństwo systemu logowania Opcje

[1oBuZ]

Witam!

Drodzy użytkownicy proszę o poradę:

- jakie sposoby autoryzacji są najbezpieczniejsze?

- czy system logowania oparty na sesjach (z bazą danych w mysql) jest wpełni bezpieczny [przy założeniu, że jest poprawnie napisany] ?



Jeżeli posiadacie jakieś autorskie "elementy zabezpieczeń", pomysły lub linki które przyczynią się do poprawy bezpieczeństwa systemu logowania to bardzo proszę o ich przedstawienie.

Z góry dziękuję i pozdawiam!

Ten post edytował 1oBuZ 2.07.2009, 17:05:08

[cojack]

Na moim blogu masz przykład klasy sesji z trzymaniem jej w bazie danych, doszedłem do wniosku że nie ma sensu trzymanie sessji w bazie danych. Kiedyś napiszę lepszą. Ciasteczka? A po co to komu? Każda sesja jest wywoływana dla osobnego użytkownika i jej czas życia ustawiasz Ty, reload strony update czasu życia, lub też i nie, np u mnie sessja trwa 1h max, po tym czasie wyloguje Cie z strony i musisz logować się jeszcze raz. Jak się pchasz w ciasteczka możesz się narazić na ataki, chyba że nieźle mixujesz sid dla ciasteczek, tak jak np ja: ip + user_agent + data utworzenia + id usera + session_id podczas utworzenia. Weź mi to przemixuj do ciasteczka i spróbuj to podmienić na właściwe. Kontrola sessji warunkowa.Kody bezpieczeństwa? Co Ty aplikacje bankową piszesz? Może jeszcze zacznijmy od logowania na pgkeyach?