Bezpieczny system logowania Opcje

[Displace]

Witam,

Próbuję od jakiegoś czasu napisać skrypt logowania, ale tak, aby był jak najbardziej bezpieczny. Jakiekolwiek włamanie na konto użytkownika jest w moim przypadku niedopuszczalne. W internecie dużo jest "poradników" czy też "kursów" na ten temat. A pisząc poradniki, jeszcze w cudzysłowu mam na myśli to, że w 95% przypadków jest to zwykły system oparty na sesjach, bez jakichkolwiek zabezpieczeń. W większości przypadków nie jest to też to, czego szukam.

Docelowo muszę napisać system logowania z możliwością zapamiętania użytkownika na danym komputerze - jedynym słusznym rozwiązaniem jest użycie sesji i cookies.

I teraz jak to ugryźć?
1) Czy wystarczy samo session_regenerate_id(), czy coś jeszcze można by było dorzucić do kodu?
2) Czy warto stworzyć osobną tabelę w bazie danych specjalnie dla sesji? Jeśli tak, to na jakiej zasadzie by to działało i jakie pola powinny się w niej znaleźć? Dla przykładu, oto tabele z phpBB3, niestety nie wiem w jaki sposób rozwiązano tam ten problem, gdyż cały kod tegoż forum jest za długi i nie da się go jednocześnie przeczytać i zrozumieć.

[SQL] pobierz, plaintext 
CREATE TABLE `sessions` (
  `session_id` varchar(32) BINARY NOT NULL DEFAULT '',
  `session_user_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `session_forum_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `session_last_visit` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_start` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_time` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_ip` varchar(40) BINARY NOT NULL DEFAULT '',
  `session_browser` varchar(150) BINARY NOT NULL DEFAULT '',
  `session_forwarded_for` varchar(255) BINARY NOT NULL DEFAULT '',
  `session_page` blob NOT NULL,
  `session_viewonline` tinyint(1) UNSIGNED NOT NULL DEFAULT '1',
  `session_autologin` tinyint(1) UNSIGNED NOT NULL DEFAULT '0',
  `session_admin` tinyint(1) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`session_id`),
  KEY `session_time` (`session_time`),
  KEY `session_user_id` (`session_user_id`),
  KEY `session_fid` (`session_forum_id`)
) TYPE=MyISAM;
 
CREATE TABLE `sessions_keys` (
  `key_id` varchar(32) BINARY NOT NULL DEFAULT '',
  `user_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `last_ip` varchar(40) BINARY NOT NULL DEFAULT '',
  `last_login` int(11) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`key_id`,`user_id`),
  KEY `last_login` (`last_login`)
) TYPE=MyISAM;
[SQL] pobierz, plaintext 

3) W jaki sposób rozwiązać problem z zapamiętaniem użytkownika, co wysyłać w ciastkach aby było w miarę bezpiecznie?


Nie przyjmuję gotowców! (choć chyba i tak nikt mi go dawać nie zamierzał ) Proszę tylko o jasne nakreślenie mi tego w jaki sposób mógłbym to napisać, aby było w miarę prosto, ale i bezpiecznie. Zaznaczam również, że lubię czytać i chętnie przyjmę posty dłuższe niż 3 zdania.

[Szadow]

Polecam: http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php

[AndyPSV]

certyfikat ssl polecam
ciasteczka wysylasz normalnie, nie zapisujesz ich (bez mozliwosci sesji), tylko do zamkniecia przegladarki lub np. 10 minut (na sesje)

szyfrowanie w bazie danych (hasel) np. md5+sha1+ciag; niemozliwosc ustawienia uzytkownikowi hasla krotszego niz x;

[Displace]

Ok, dzięki, już powoli sobie to w myślach wszystko nakreśliłem, prosiłbym tylko zweryfikować, czy wszystko jest poprawnie.


SESJE:
1) Tymczasowa (tylko sesje) - logowanie jedynie na czas działania przeglądarki. Po jej zamknięciu, session_id ginie bezpowrotnie.
2) Stała (sesje i cookies) - logowanie z opcją "zapamiętaj mnie". Session_id przechowywane w ciasteczku.

Opiszę tylko tą pierwszą, druga będzie podobna. Jest to lista kroków, jaką PHP realizuje na każdej ze stron dla zalogowanych.

1. Sprawdzenie czy id sesji istnieje w bazie. Jeżeli tak, kontynuuj, jeżeli nie, wyświetl panel logowania.
2. Czy IP jest zgodne z IP zapisanym w bazie danych w chwili zalogowania? Jeżeli nie, naruszono zasady bezpieczeństwa, ale kontynuuj.
3. Czy przeglądarka jest zgodna z przeglądarką zapisaną w bazie danych w chwili zalogowania? Jeżeli nie, naruszono zasady bezpieczeństwa, ale kontynuuj.
4. Czy zgadzają się dane: $_SESSION['id_konta'] i $_SESSION['prawa'] z tymi, zapisanymi w bazie danych? Jeżeli nie, naruszono zasady bezpieczeństwa, ale kontynuuj.
5. Czy naruszono w jakikolwiek sposób zasady bezpieczeństwa? Jeżeli tak to przerwij działanie, skasuj odpowiedni rekord z bazy danych, zniszcz wszystkie sesje i zmień id_sesji, a następnie wyświetl komunikat i przekieruj na stronę logowania.
6. Jeżeli wszystko jest ok, zanotuj datę i godzinę "ostatniej przeprowadzonej akcji" (załadowanie strony), a następnie wyświetl zawartość strony.

Oczywiście, sesja wpisana do bazy danych jest kasowana po 40-60 minutach bezczynności (wymaga tak długiego czasu działania moja strona, aby nic przypadkiem się w formularzu usera nie wykasowało gdy ten będzie długo pisał).

Czy dobrze to wszystko wymyśliłem? Można coś jeszcze do tego dodać?


I najtrudniejsze pytanie - sesja stała, czyli cookies. Jak zweryfikować użytkownika? Po czym? IP odpada, gdyż jeżeli user będzie miał zmienne, to opcja "zapamiętaj mnie" będzie na dłuższą metę nic nie warta. Przeglądarka? Ok. Ale to chyba za mało. Może coś jeszcze jest o czym zapomniałem?

[marcio]

I najtrudniejsze pytanie - sesja stała, czyli cookies. Jak zweryfikować użytkownika? Po czym? IP odpada, gdyż jeżeli user będzie miał zmienne, to opcja "zapamiętaj mnie" będzie na dłuższą metę nic nie warta. Przeglądarka? Ok. Ale to chyba za mało. Może coś jeszcze jest o czym zapomniałem?

unikalne id user'a generowane za pomoca uniqid()

CO do systemu logowania:
sprawdzenie przegladarki
hash hasla normalka
anty brute force itp...itd... czyli ograniczona ilosc prob i bledow
filtrowanie zmiennych w zapytaniach slq
walidacja formularza logowania

[Mephistofeles]

Oczywiście nie zapomnij przy tych wszystkich zabezpieczeniach o XSS, CRSF i SQL Injection .
Zapisuj sobie przeglądarkę, ip (aż tak często się nie zmienia), możesz jakieś dodatkowe ciastko oprócz session id dodać.

[Fifi209]

możesz jakieś dodatkowe ciastko oprócz session id dodać.

A co to zmieni? Jak ktoś mu ukradnie sid z ciastka to i inne może ukraść.

[Mephistofeles]

Można liczyć, że nie będzie na tyle sprytny żeby to wykorzystać .

[Fifi209]

Można liczyć, że nie będzie na tyle sprytny żeby to wykorzystać .

Równie dobrze można mieć dziurawe skrypty i liczyć, że nie będzie na tyle sprytny, aby to wykorzystać.

[Displace]

ip (aż tak często się nie zmienia)

Ja mam zmienne IP i też chciałbym skorzystać z opcji "zapamiętaj mnie"
Pomysły typu dwa ciastka... hmm - jeżeli ktoś już zechce się włamać na moją stronę, to na pewno nie amator.

[Mephistofeles]

"Zapamiętaj mnie" to dla mnie zaprzeczenie bezpieczeństwa, przynajmniej na taką skalę jaką ty chcesz.
Jeśli zależy ci wyłącznie na bezpieczeństwie zrób hasła jednorazowe albo maskowane, do tego oczywiście SSL.