 autologowanie, checkbox z pamietaniem użytkownika |
| autologowanie, checkbox z pamietaniem użytkownika |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 6.04.2008 Ostrzeżenie: (0%) 
 |
Zastanawiam się jak bezpiecznie przy pomocy ciasteczka pozwolić na pamiętanie zalogowania? Chodzi mi o taką sytuacje jak jest w gmail.com czyli input text - login, input text - haslo, checkbox - pamiętaj mnie. I bardziej szczegółowo chodzi mi o obsłużenie przypadku gdy ten checkbox jest zahaczony. Trzeba strzymać u użytkownika login (bo trzeba wiedzieć kto to jest), pytanie czy warto trzymać hasło (nawet zahaczowane SHA2)? Ja sobie wymyśliłem, że będę trzymał w ciastku dwie wartości - login i hash SHA2 z loginu+'zalogowany'. dzięki temu, że hash będzie składać się z loginu i stringu zalogowany hash dla każdego użytkownika będzie inny, co trochę utrudnia podszycie się pod daną osobę (chyba, że ktoś odkryje moją zmyślną konkatacje i algorytm hashujący). Pewne jest to, że nie można trzymać nic w stylu zalogowany czt zalogowany=1 bo każdy może sobie takie ciastko zrobić i bez znajomości hasła wejść a konto. Ma ktoś jakiś pomysł jak to można zrobi, żeby było jeszcze bezpieczniejsze?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 6.04.2008 Ostrzeżenie: (0%)
|
"Dokładnie" odnosi się do którego mojego postu? (IMG:style_emoticons/default/smile.gif)
Cytat(viking @ 15.08.2009, 15:18:52 )  Przykładowo na allegro sesja trwa 30 minut i nie słyszałem wielkich krzyków. Na poczta.o2.pl jest się zalogowanym do zmiany IP. I tak dalej. Naprawdę zależy od sytuacji i tego jak chcemy być bezpieczni. Właśnie w moim przypadku jest gorzej bo ja chcę pamiętać użytkownika około rok czasu (to jest taki serwis, który ze swojej natury nie jest odwiedzany codziennie) |
|
|
|
diniox autologowanie 15.08.2009, 10:24:16 
Crozin ID użytkownika + unikalny, losowy klucz, regenerow... 15.08.2009, 10:40:47 
diniox Cytat(Crozin @ 15.08.2009, 11:40:47 )... 15.08.2009, 10:44:59 Crozin ID użytkownika - nie wiem czym ono jest u Ciebie, ... 15.08.2009, 11:35:17 diniox Cytat(Crozin @ 15.08.2009, 12:35:17 )... 15.08.2009, 14:14:54 viking Przyjmij sobie najlepiej zasadę że w cookie nie tr... 15.08.2009, 12:28:14 diniox Cytat(viking @ 15.08.2009, 13:28:14 )... 15.08.2009, 14:09:29 Crozin Sprawdzanie IP bez sensu... IP jest z reguły zmien... 15.08.2009, 12:41:07 viking Zależy od zastosowań. Przecież IP nie zmienia się ... 15.08.2009, 12:46:28 Crozin Co 5min nie, ale co dwa dni, gdy chciałbym móc się... 15.08.2009, 12:59:53 viking Cytat(Crozin @ 15.08.2009, 13:59:53 )... 15.08.2009, 14:18:52 Crozin Dokładnie.
Chociaż to też nie jest zbyt "wyg... 15.08.2009, 14:12:47 Crozin W przypadku sesji sprawdzanie IP jak najbardziej t... 15.08.2009, 14:21:37 diniox OK, powiedzmy, że zostaje przy danych w ciasteczku... 15.08.2009, 14:29:25 Crozin 8 miesięcy to IMO stanowczo za dużo jak na okres w... 15.08.2009, 14:37:25 diniox Zgadzam się, że 8 miesięcy to dużo. Ale do tego se... 15.08.2009, 14:42:53 viking Jeszcze raz zapytam. Po co ci id_uzytkownika w coo... 15.08.2009, 15:24:33 diniox Cytat(viking @ 15.08.2009, 16:24:33 )... 15.08.2009, 15:53:12 bełdzio to wrzuce i swoje 2gr http://www.beldzio.com/auto... 15.08.2009, 15:25:54 megawebmaster Wiesz - z pseudolosowością nigdy nic nie wiadomo i... 15.08.2009, 22:11:45 andycole Polecalbym w cookie przechowywac id i shashowane(h... 16.08.2009, 12:18:53 megawebmaster Hashownie haseł nie jest bezpieczne - o wiele bezp... 17.08.2009, 20:19:23 andycole md5($haslo.'2DJ5oW9b3dopw')
Czy istni... 18.08.2009, 12:38:38 erix CytatCzy istnieje sposob na zlamanie np takiego ha... 18.08.2009, 13:19:17 andycole Cytat(erix @ 18.08.2009, 12:19:17 ) W... 18.08.2009, 13:37:23 erix CytatTak, masz racje, ze dwa rozne ciagi moga dac ... 18.08.2009, 13:51:53 andycole ...ale ustosunkuj sie do 2 czesci mojej wypowiedzi... 18.08.2009, 14:08:16 erix Ale do jednego algorytmu dopasujesz w kilka sekund... 18.08.2009, 15:05:53  |
|
Aktualny czas: 26.12.2025 - 12:02 |
