-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Способы продления сессии
- Автор темы Ashotovich
- Дата начала
Falc
Новичок
Фанат
Тут ты не прав.
Галачку все будут нажимать, из-за собственной лени.
Даная защита защитит от того, что ктото кто зашел с компа пользователя легко попадет в систему.
>> Ты работаешь по протоколу HTTPS? Нет? Тогда хоть в одну минуту поставь - ты дыряв, как решето.
Ты хочешь сказать что все сайты, которые работают не через HTTPS, "дырявы как решето"? Тогда почему их не ломают каждый день?
Тут ты не прав.
Галачку все будут нажимать, из-за собственной лени.
Даная защита защитит от того, что ктото кто зашел с компа пользователя легко попадет в систему.
>> Ты работаешь по протоколу HTTPS? Нет? Тогда хоть в одну минуту поставь - ты дыряв, как решето.
Ты хочешь сказать что все сайты, которые работают не через HTTPS, "дырявы как решето"? Тогда почему их не ломают каждый день?
Почему же не ломают?
У доморощеных хакеров в домашних сетях любимое развлечение - отлов паролей.
А по поводу галочки вопрос, конечно, в требуемом уровне безопасности.
Но обычно стоит сделать лицо попроще и поглядеть в зерколо. может быть, там стоит Неуловимый Джо. ;-)
У доморощеных хакеров в домашних сетях любимое развлечение - отлов паролей.
А по поводу галочки вопрос, конечно, в требуемом уровне безопасности.
Но обычно стоит сделать лицо попроще и поглядеть в зерколо. может быть, там стоит Неуловимый Джо. ;-)
Falc
Новичок
>> У доморощеных хакеров в домашних сетях любимое развлечение - отлов паролей.
Ни одного сайта в разработке которых я участвовал, а это несколько десятков сайтов, ни разу не взламывали, причем они администрировались через http протокол.
>> А по поводу галочки вопрос, конечно, в требуемом уровне безопасности.
В моем случае безоопастность достаточно высока.
>> Но обычно стоит сделать лицо попроще и поглядеть в зерколо. может быть, там стоит Неуловимый Джо. ;-)
К сожалению зеркала у нас в офисе нету.
Ни одного сайта в разработке которых я участвовал, а это несколько десятков сайтов, ни разу не взламывали, причем они администрировались через http протокол.
>> А по поводу галочки вопрос, конечно, в требуемом уровне безопасности.
В моем случае безоопастность достаточно высока.
>> Но обычно стоит сделать лицо попроще и поглядеть в зерколо. может быть, там стоит Неуловимый Джо. ;-)
К сожалению зеркала у нас в офисе нету.
Falc
Новичок
>> Если наши сайты никогда не взламывали, то у них хорошая защита.
Я ни это имел ввиду.
Если у сайта есть хоть какая-то защита, то любой "проходящий мимо" не сможет его взломать.
А если у сайта есть хоть более менее нормальная система защиты, но на взлом такого сайта, потребуется время, а время - деньги, и взлом такого сайта может оказатся не рациональным.
Я ни это имел ввиду.
Если у сайта есть хоть какая-то защита, то любой "проходящий мимо" не сможет его взломать.
А если у сайта есть хоть более менее нормальная система защиты, но на взлом такого сайта, потребуется время, а время - деньги, и взлом такого сайта может оказатся не рациональным.
Ashotovich
Новичок
Мде... Уважаемому Фанату насчет вывода информации, которую надо будет посмотреть и прочитать: замечание дельное. Кроме пользователей, вводящих информацию, есть еще и те, которые эту информацию контролируют. А вот они действительно могут задерживаться на страницах дольше двух минут. Так что при логине таких пользователей придется пользоваться msession_timeout, доков по которой еще нет... Мде.
Уважаемому Falc'у насчет .htaccess - в том то вся и загвоздка, что пользователи от собственной лени будут ставить галку на "запомнить пароль" в окне HTTP-авторизации. И при бесконечном лайфтайме сессии начнутся проблемы с безопасностью, потому как у многих из них один компьютер на, допустим, троих (в регионах России). А это не есть хорошо. Да, еще стоит помнить о том, что пользователям может придти в голову поработать из интернет-кафе или домашней сети (работа ведется через HTTPS, так что пароль на PHP-авторизацию не вдруг стыришь, если только на компьютере IE не настроен на запоминание паролей; впрочем от всего не застрахуешься).
Уважаемому Falc'у насчет .htaccess - в том то вся и загвоздка, что пользователи от собственной лени будут ставить галку на "запомнить пароль" в окне HTTP-авторизации. И при бесконечном лайфтайме сессии начнутся проблемы с безопасностью, потому как у многих из них один компьютер на, допустим, троих (в регионах России). А это не есть хорошо. Да, еще стоит помнить о том, что пользователям может придти в голову поработать из интернет-кафе или домашней сети (работа ведется через HTTPS, так что пароль на PHP-авторизацию не вдруг стыришь, если только на компьютере IE не настроен на запоминание паролей; впрочем от всего не застрахуешься).
Alkinoy
Guest
Ты там еще что то говорил, что проверка у тебя на JS сделана???? Или я неправильно тебя понял. То есть ты введенные данные сначала как то обрабатываешь яваскриптом в браузере и потом уже отправляешь запрос вэбсерверу?
Ashotovich
Новичок
2 Alkinoy:
Как Вы это себе представляете?
Речь шла о том, что при работе с формами на нашем "сайте" вводимые данные проверяются при помощи JS дабы исключить возможность ошибок в ходе работы пользователя. А в скрипте-обработчике эти данные проверяются еще раз, уже из соображений корректной работы с mySQL. И это был полнейший оффтоп, не относящийся никаким боком к обсуждаемой теме - просто уважаемому Фанату захотелось припомнить мне одно из предыдущих обсуждений.
2 Falc:
При HTTPS эта галка тоже есть. Это ведь дело браузера, а не протокола. Думаю, есть браузеры поумнее IE, которые не предлагают запомнить пароль при соединении по HTTPS, но... "покой нам только снится".
Да, про галку - это все же Вам. Вы же предлагаете делать таймаут в .htaccess, а не в php.ini. Так что если галка поставлена - никакой таймаут не поможет. Жмакнул на ентер, и ковыряй чужой раздел дальше, пока хозяин курит.
Как Вы это себе представляете?
Речь шла о том, что при работе с формами на нашем "сайте" вводимые данные проверяются при помощи JS дабы исключить возможность ошибок в ходе работы пользователя. А в скрипте-обработчике эти данные проверяются еще раз, уже из соображений корректной работы с mySQL. И это был полнейший оффтоп, не относящийся никаким боком к обсуждаемой теме - просто уважаемому Фанату захотелось припомнить мне одно из предыдущих обсуждений.2 Falc:
При HTTPS эта галка тоже есть. Это ведь дело браузера, а не протокола. Думаю, есть браузеры поумнее IE, которые не предлагают запомнить пароль при соединении по HTTPS, но... "покой нам только снится".
Да, про галку - это все же Вам. Вы же предлагаете делать таймаут в .htaccess, а не в php.ini. Так что если галка поставлена - никакой таймаут не поможет. Жмакнул на ентер, и ковыряй чужой раздел дальше, пока хозяин курит.
Ashotovich
Новичок
Я же объяснял. Разница лишь в том, что пользователи будут ставить галочку "запомнить пароль" в окне HTTP-авторизации. А так как PHP-сессии не ограничены по таймауту, то, если пользователь, допустим, выйдет покурить, не выйдя из базы, или просто уедет по своим делам, не закрыв окно браузера и тем самым не убив куку, то любой доброжелатель может на его рабочем месте хозяйничать, ибо даже если .htaccess-таймаут истечет, при наличии галки и незакрытом окне браузера никто не помешает постороннему лицу лазить по базе. Проблема с автоматическим запоминанием паролей в веб-формах решаема, а вот проблема галочки в окне HTTP-авторизации - нет. Так что PHP-таймаут все же обеспечивает большую безопасность в работе.
Я не параноик. Такие меры действительно необходимы - специфика работы моей конторы обязывает.
nightik
PHP5 BetaTeam
сколько читаю, а всё понять не могу что тут обсуждается? или тут собрались просто поболтать о погоде/политике/женщинах/пиве?
По поводу галки "запомнить пароль": даже если пользователь поставил эту злаполучную галку то оправив
браузер попросит ввести логин/пароль еще раз. (поправьте меня если я ошибаюсь). Кстате заставить пользователя еще раз авторизироваться, можно если, к примеру, он не обращался к сайту в течении некоторого времени. Это, кстати, избавляет напрочь от плясок с бубном вокруг времени сессии.
По поводу курящего сотрудника ушедшего курить и оствавив своё рабочее место врагам на растерзание: бороться с этим должен не разработчики веб-ресурса, а отдел информационной безопастности, который допусти такого сотрудника к работе с такого рода информацией.
Вы можете биться головой об железобетонную стену, но исключить человеческий фактор из защиты информации у вас не получится. Уж так сложилось, что это самое уязвимое место и бороться с этим задача других людей.
По поводу галки "запомнить пароль": даже если пользователь поставил эту злаполучную галку то оправив
PHP:
header('HTTP/1.0 401 Unauthorized');
header('status: 401 Unauthorized');По поводу курящего сотрудника ушедшего курить и оствавив своё рабочее место врагам на растерзание: бороться с этим должен не разработчики веб-ресурса, а отдел информационной безопастности, который допусти такого сотрудника к работе с такого рода информацией.
Вы можете биться головой об железобетонную стену, но исключить человеческий фактор из защиты информации у вас не получится. Уж так сложилось, что это самое уязвимое место и бороться с этим задача других людей.