logowanie na ciastkach Opcje

[hhg]

nie rozumiem czegos w logowaniu w oparciu o cookies. Przeciez jezeli ktos sobie samemu umiesci plik cookie ktory jest sprawdzany na kazdej podstronie wymagajacej zalogowania, to nie logujac sie ma dostep do czesci dla zalogowanych.. wiec w zasadzie kazdy moze sie zalogowac jezeli tylko utworzy ciasteczko o odpowiedniej nazwie i byle jakiej wartosci

prosze mnie wyprowadzic z bledu...

[Ludvik]

W takim ciastku zapisujesz login i hasło(hash - md5, sha1), jeżeli nie trzymasz ich w sesji. Przy każdym żądaniu sprawdzasz czy login i hasło pasują i wtedy dopiero nadajesz prawa...

[Ja_Szczur]

ale masz dużo racji -> XSS

[Athlan]

@Ja_Szczur a od czego sa filtry?

[Ja_Szczur]

od filtrowania (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

ja osobiście nie używam logowania na ciastkach, skoro mogę używać do tego sesji

[hhg]

W takim ciastku zapisujesz login i hasło

czyli na samym początku każej podstrony po logowaniu powinienem sprawdzać prawdziwość loginu i hasła?

czy szyfrowanie jest konieczne?

[Ludvik]

Oczywiście. Hasło w ciastku musi być zahashowane, żeby nikt nawet kradnąc ciastko nie był w stanie odgadnąć go tak łatwo. Pozostaje mu brute force. Jeżeli przejmie ciastko to się zaloguje, ale hasła nie zmieni...

[nospor]

Jeżeli przejmie ciastko to się zaloguje, ale hasła nie zmieni...

No nie do konca.... jak sie zaloguje to i haslo zmieni, bo wiekszosc aplikacji umozliwia zmiane hasla po zalogowaniu (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[Athlan]

no i to jest właśnie ten problem, ja bym do ciacha dodał zahashowane ID usera, to jest:

- IP
- user agent

wziąźć do kupy i zahashować w md5 (oczywiście ten, co skradł ciacho nie zna metody hashowania). Jeżeli te dane sie bedą zgadzać (łącznie z hasłem)... zalogowany, jeżeli nie to formularzyk autoryzacji (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

pozdrawiam:)

Ten post edytował Athlan 1.08.2006, 16:24:55

[Ludvik]

No nie do konca.... jak sie zaloguje to i haslo zmieni, bo wiekszosc aplikacji umozliwia zmiane hasla po zalogowaniu (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ale ta większość aplikacji pyta się o stare hasło, którego atakujący nie zna (hash mu nic nie da) (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Athlan]

Ale ta większość aplikacji pyta się o stare hasło, którego atakujący nie zna (hash mu nic nie da) (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

mimo to, niebezpieczny sposób, już mój, który podałem wyzej szybciej wejdzie w zycie...

pozdrawiam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Ludvik]

Wcale nie jest mniej bezpieczny od logowania opartego na sesjach. I jedno i drugie ciastko można tak samo łatwo ukraść. Poza tym duża część stron (np. ten board) udostępnia automatyczne przywracanie sesji i zapisuje właśnie takie ciastko.

EDIT: Nie doczytałem. Nie chce mi się kolejny raz wyjasniać tego - to nie zadziała. Tutaj to zostało wyjaśnione...

Ten post edytował Ludvik 1.08.2006, 19:36:37

[nospor]

Ale ta większość aplikacji pyta się o stare hasło, którego atakujący nie zna

Hehe, i tu mnie masz (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Ale na upartego można skorzystać z opcji "przypomnij hasło", ktora nie wymaga już starego hasla ale zazwyczaj email. A email to juz se w koncie koles bedzie mogl zmienic (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ale do tematu.
Mozna tez zamiast hasla trzymac jaki identyfikator, ktory zapisywany jest rownież w bazie. Po kazdym logowaniu zmieniac ten identyfikator. Nawet jesli ktos wykradnie ciacho, to jest duza szansa, ze juz sie zmieni identyfikator i koles bedzie mial nieaktualne ciacho