 autologowanie, checkbox z pamietaniem użytkownika |
| autologowanie, checkbox z pamietaniem użytkownika |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 17 Pomógł: 0 Dołączył: 6.04.2008 Ostrzeżenie: (0%) 
 |
Zastanawiam się jak bezpiecznie przy pomocy ciasteczka pozwolić na pamiętanie zalogowania? Chodzi mi o taką sytuacje jak jest w gmail.com czyli input text - login, input text - haslo, checkbox - pamiętaj mnie. I bardziej szczegółowo chodzi mi o obsłużenie przypadku gdy ten checkbox jest zahaczony. Trzeba strzymać u użytkownika login (bo trzeba wiedzieć kto to jest), pytanie czy warto trzymać hasło (nawet zahaczowane SHA2)? Ja sobie wymyśliłem, że będę trzymał w ciastku dwie wartości - login i hash SHA2 z loginu+'zalogowany'. dzięki temu, że hash będzie składać się z loginu i stringu zalogowany hash dla każdego użytkownika będzie inny, co trochę utrudnia podszycie się pod daną osobę (chyba, że ktoś odkryje moją zmyślną konkatacje i algorytm hashujący). Pewne jest to, że nie można trzymać nic w stylu zalogowany czt zalogowany=1 bo każdy może sobie takie ciastko zrobić i bez znajomości hasła wejść a konto. Ma ktoś jakiś pomysł jak to można zrobi, żeby było jeszcze bezpieczniejsze?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
Cytat Czy istnieje sposob na zlamanie np takiego hasha? Slyszalem o metodzie teczowych tablic (rainbow array), ale one skuteczne sa do 'cofania' hasha dla ciagow mniej niz 8 znakow. W moim przypadku sama sol jest dluzsza. A znajomosc mojego hasha md5(haslo+sol) w zaden sposob nie pozwoli wejsc mi w posiadanie wartosci soli potrzebnej do ewentualnego ataku. A jakie ma znaczenie, jakie hasło? Wyszukiwany jest jakikolwiek ciąg, który będzie pasował do sumy kontrolnej. Może być nawet inne hasło, byleby hash był taki, który umożliwi wejście do systemu. Jest osobny, przyklejony wątek na ten temat. Tak w ogóle, to PHP posiada tyle funkcji hashujących, że tylko wybierać, nie mam pojęcia, dlaczego wszyscy się uczepili md5. :/ Cytat Hashownie haseł nie jest bezpieczne - o wiele bezpieczniejszy jest właśnie jakiś przypadkowy zestaw znaków zapisywany również do bazy do danego id Całkowicie się zgadzam. Do tego zapisanie parę informacji o użytkowniku, aby zminimalizować ryzyko przejęcia sesji. |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 71 Pomógł: 1 Dołączył: 14.12.2004 Ostrzeżenie: (0%)
|
Cytat(erix @ 18.08.2009, 12:19:17 )  Wyszukiwany jest jakikolwiek ciąg, który będzie pasował do sumy kontrolnej. Może być nawet inne hasło, byleby hash był taki, który umożliwi wejście do systemu. Całkowicie się zgadzam. Do tego zapisanie parę informacji o użytkowniku, aby zminimalizować ryzyko przejęcia sesji. Tak, masz racje, ze dwa rozne ciagi moga dac jednakowy hash. Jednak ryzyko jest chyba niewielkie? W takim razie niewazne czy shashujemy haslo, haslo+sol czy unikalna liczbe i inne dane o userze skoro w kazdym wypadku istnieje mozliwosc uzyskania takiego samego hasha bez znajomosci shashowanych przez nas danych? Czy dobrze rozumuje? Cytat(erix @ 18.08.2009, 12:19:17 ) Tak w ogóle, to PHP posiada tyle funkcji hashujących, że tylko wybierać, nie mam pojęcia, dlaczego wszyscy się uczepili md5. :/ A co polecasz innego? |
|
|
|
diniox autologowanie 15.08.2009, 10:24:16 
Crozin ID użytkownika + unikalny, losowy klucz, regenerow... 15.08.2009, 10:40:47 
diniox Cytat(Crozin @ 15.08.2009, 11:40:47 )... 15.08.2009, 10:44:59 Crozin ID użytkownika - nie wiem czym ono jest u Ciebie, ... 15.08.2009, 11:35:17 diniox Cytat(Crozin @ 15.08.2009, 12:35:17 )... 15.08.2009, 14:14:54 viking Przyjmij sobie najlepiej zasadę że w cookie nie tr... 15.08.2009, 12:28:14 diniox Cytat(viking @ 15.08.2009, 13:28:14 )... 15.08.2009, 14:09:29 Crozin Sprawdzanie IP bez sensu... IP jest z reguły zmien... 15.08.2009, 12:41:07 viking Zależy od zastosowań. Przecież IP nie zmienia się ... 15.08.2009, 12:46:28 Crozin Co 5min nie, ale co dwa dni, gdy chciałbym móc się... 15.08.2009, 12:59:53 viking Cytat(Crozin @ 15.08.2009, 13:59:53 )... 15.08.2009, 14:18:52 Crozin Dokładnie.
Chociaż to też nie jest zbyt "wyg... 15.08.2009, 14:12:47 diniox "Dokładnie" odnosi się do którego mojego... 15.08.2009, 14:21:09 Crozin W przypadku sesji sprawdzanie IP jak najbardziej t... 15.08.2009, 14:21:37 diniox OK, powiedzmy, że zostaje przy danych w ciasteczku... 15.08.2009, 14:29:25 Crozin 8 miesięcy to IMO stanowczo za dużo jak na okres w... 15.08.2009, 14:37:25 diniox Zgadzam się, że 8 miesięcy to dużo. Ale do tego se... 15.08.2009, 14:42:53 viking Jeszcze raz zapytam. Po co ci id_uzytkownika w coo... 15.08.2009, 15:24:33 diniox Cytat(viking @ 15.08.2009, 16:24:33 )... 15.08.2009, 15:53:12 bełdzio to wrzuce i swoje 2gr http://www.beldzio.com/auto... 15.08.2009, 15:25:54 megawebmaster Wiesz - z pseudolosowością nigdy nic nie wiadomo i... 15.08.2009, 22:11:45 andycole Polecalbym w cookie przechowywac id i shashowane(h... 16.08.2009, 12:18:53 megawebmaster Hashownie haseł nie jest bezpieczne - o wiele bezp... 17.08.2009, 20:19:23 andycole md5($haslo.'2DJ5oW9b3dopw')
Czy istni... 18.08.2009, 12:38:38 erix CytatTak, masz racje, ze dwa rozne ciagi moga dac ... 18.08.2009, 13:51:53 andycole ...ale ustosunkuj sie do 2 czesci mojej wypowiedzi... 18.08.2009, 14:08:16 erix Ale do jednego algorytmu dopasujesz w kilka sekund... 18.08.2009, 15:05:53  |
|
Aktualny czas: 26.12.2025 - 00:47 |
