Сесии, авторизация

[denver]

BubenPupen

Что делать с диалапщиками ?

Ну. Зато секьюрно получается. Если не нужно так строго то можно запоминать не весь IP, а первые два-три октета (60.110.124.* или 60.110.*.* ну или что-то среднее - "доверительный интервал" какой-то). Думаю это пойдет для форумов или всякой фигни (для всего чему не нужен SSL короче).

Gorynych

запоминание при посещении хотя бы этого форума, то найдите у себя соответствующие куки и подумайте над ними.

Ну и над чем там думать? юзер_ид и хэш пароля, это первый метод который приходит в голову и который стоит под №1 в моем вопросе.

 

[Фанат]

блин вот придумают себе проблему - и сидят, сосут из пальца всё новые идеи.

фича "запомнить меня на компьютере" - ПО ОПРЕДЕЛЕНИЮ несекурна. Хочешь безопасности - не используй её вообще

-~{}~ 03.02.07 15:18:

а используешь - не стони про безопасность.

у тебя отправка пароля защищённо происходит? нет? Ну тогда пароль украдут С ТОЙ ЖЕ ВЕРОЯТНОСТЬЮ, с которой украдут и куку, по которой взломают пароль.
вот и займись сначала пунктом первым.
у тебя есть защита от подюорапароля? Нет? займись сначала ей.

паранойю лечат

 

[denver]

Фанат
Несекьюрность бывает разная. На этом форуме, например, утащить куку и положить ее себе - достаточно.
А вопрос был корректный: как увеличить секьюрность не в ущерб удобности.

у тебя отправка пароля защищённо происходит? нет? Ну тогда пароль украдут С ТОЙ ЖЕ ВЕРОЯТНОСТЬЮ

Нечего нас лечить, думаю, все и так понимают что не-SSL - это всё безопасность условная.

 

[Фанат]

На этом форуме, например утащить куку и положить ее себе - достаточно.

ты утащи сначала. а потом рассуждай.

а в твоем "втором случае" - недостаточно?

 

[denver]

Фанат

ты утащи сначала. а потом рассуждай

Я не имел в виду что в клюбе дырки утащить куку можно не только XSS, а и трояном или еще как. Конечно кейлоггером проще утащить пароль, но "против лома нет приема" - тут и SSL не спасёт.

В моем втором случае подложить куку тоже легко. Поэтому я и записал сюда вчера 3й способ, сверка по IP. Причем у каждого юзера может быть больше одного "компа" (IP).

 

[BubenPupen]

denver

Ну. Зато секьюрно получается.

Правильно тебе Фанат сказал - эта фича не может быть безопасной по определению. Не надо тут ничего придумывать.
Сгенерил качественную случайную строку, применил md5 и вот тебе решение.

-~{}~ 05.02.07 23:59:

Хм, а на этом форуме какая схема ? Помоему тут юзерагент используется.
Я отключил куки, залогинился (Opera 8.5)
Получилась ссылка:
http://phpclub.ru/talk/newreply.php?action=newreply&threadid=87010&
Открыл ее в Мозилле - не срабатывает авторизация.
В Opera 9 тоже.
Открыл новое окно в Opera 8.5, все работает.
Поставил в настройках Identify as IE, не работает. Значит точно юзерагент.

Пробовал с разных айпишников заходить по ссылке, авторизация работает. Значит IP тут не участвует.

Ну так вот, теоритически возможна ситуация, когда один пользователь даст ссылку вида
http://phpclub.ru/talk/newreply.php?action=newreply&threadid=87010&
А, другой пользователь (с таким же User agent) по ней зайдет. И получит доступ к аккаунту первого пользователя.

-~{}~ 06.02.07 00:01:

А, ну все понятно. Форум вырезает из ссылок идентификатор сессии. (Ссылка, которуя я постил выглядит так: phpclub.ru/talk/newreply.php?action=newreply&threadid=87010&).
А что если ссылку дадут не на этом форуме, а на другом ?

-~{}~ 06.02.07 00:02:

Опять вырезал
Короче понятно, что там далее идет идентификатор сессии.

 

[kruglov]

А зачем хранить идентификатор сессии в урле? Это ж всегда дырка. Даже знакомому не надо ссылку отправлять, достаточно самому на какую-нить ссылку кликнуть, а там уже в реферерах ловят.

Юзер куки отключил? Пускай меняет религию, включает куки. А иначе "sorry"

 

[BubenPupen]

kruglov

Юзер куки отключил? Пускай меняет религию, включает куки. А иначе "sorry"

Тоже склоняюсь к этому мнению, но все-таки думаю, что это должно быть реализовано в CMS.

 

[Фанат]

что должно быть реализовано в CMS?

 

[BubenPupen]

Фанат

что должно быть реализовано в CMS?

Авторизация с отключенными куками.

 

[Фанат]

а при чем здесь CMS? Ты имеешь в виду админку?

 

[BubenPupen]

Фанат
Нет, не админку.
Модуль пользователей в CMS. Заказчикам (или покупателям) как правило без разницы, безопасно то или иное решение для пользователя или нет, им главное чтобы не было жестких ограничений (правда не знаю на сколько включенные куки это жесткое ограничение в наши дни, но всеже).
Впрочем, про CMS это я так, между прочим сказал, а получился такой оффтоп