Oldal: 1 / 2 12 UtolsóUtolsó
Eredmény: 1 - 10 (12) összesen

Téma: auth - login - avagy Session vs. Cookie

  1. #1
    Bölcs huncyrus logója
    Csatlakozott
    07-04-26
    Hely
    EU :)
    Hozzászólás
    517
    Thanked 1 Time in 1 Post

    Alapbeállítás auth - login - avagy Session vs. Cookie

    No kérdéskört nyitok kedves php devek !

    Ha választanotok kell egy autentikációnál (ha fogalmazhatok ilyen csunya magyaritott szóval) sessiont vagy cookie-t részesítitek előnyben, és miért.


    Cyrusmagus.hu - Informatika, Fantasy, Blog, Irások
    Szörnygyilkos 4.0 - hamarosan

  2. #2
    Új tag
    Csatlakozott
    07-05-18
    Hely
    Szeged
    Hozzászólás
    31
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: auth - login - avagy Session vs. Cookie

    Sessiont. Sütit user pofátlanul felülírja
    Ha be akarod magad biztosítani, akkor:
    - minden auth-nál generálsz egy mondjuk 32 karakteres random stringet (md5(rand(0, 1000), pl.), ezt eltárolod session-ben, és kiküldüd sütiben
    - a következő auth-nál már tudod nézni, hogy a session és a süti stimmel-e, ha nem, akkor kilépteted a usert (session-t lop, vagy ilyesmi), ha igen, új kulcsot generálsz, kiküldöd és kezdődik az egész előlről.

    Sütit max az "emlékezz rám" adatok mentésére ajánlott használni, ebben az esetben meg ajánlom ennek az áttanulmányozását.

    BlackY


    Utoljára módosítva: BlackY által : 2007-05-21 11:03 Oka: Rossz url :)

  3. #3
    Bölcs huncyrus logója
    Csatlakozott
    07-04-26
    Hely
    EU :)
    Hozzászólás
    517
    Thanked 1 Time in 1 Post

    Alapbeállítás re: auth - login - avagy Session vs. Cookie

    tehát akkor te cross-platformos vagy. szép dolog



  4. #4
    Tag Ricardo logója
    Csatlakozott
    08-04-17
    Hely
    Budapest
    Hozzászólás
    50
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Király re: auth - login - avagy Session vs. Cookie

    Idézet BlackY eredeti hozzászólása Hozzászólás megtekintése
    Sessiont. Sütit user pofátlanul felülírja
    Ha be akarod magad biztosítani, akkor:
    - minden auth-nál generálsz egy mondjuk 32 karakteres random stringet (md5(rand(0, 1000), pl.), ezt eltárolod session-ben, és kiküldüd sütiben
    - a következő auth-nál már tudod nézni, hogy a session és a süti stimmel-e, ha nem, akkor kilépteted a usert (session-t lop, vagy ilyesmi), ha igen, új kulcsot generálsz, kiküldöd és kezdődik az egész előlről.

    Sütit max az "emlékezz rám" adatok mentésére ajánlott használni, ebben az esetben meg ajánlom ennek az áttanulmányozását.

    BlackY
    Köszönöm
    Pont ez a következő téma amit szeretnék kicsit körüljárni.



  5. #5
    Bölcs
    Csatlakozott
    07-08-28
    Hozzászólás
    832
    Begyűjtött 40 köszönetet
    30 hozzászólásával

    Alapbeállítás re: auth - login - avagy Session vs. Cookie

    Nem értem a kérdést. A session adatai szintén cookie-ben tárolódnak, csak egy 0 -s lifetime -al rendelkező, csak a böngésző futási idejében létező, elvileg csak a memóriában tárolt érték. Firefox alatt a hamisitásához vannak pluginek. (mindenki keresse meg )

    Szóval a jó kérdés: ha beléptető rendszert csinálsz, akkor te session/süti vagy http authentikációt használsz ?

    Erre pedig a válasz az hogy session/süti alapokon lehet megbizhatóbb rendszert csinálni. Hiszen ebben az esetben nem küldi el a rendszer minden egyes lapletöltéshez a felhasználó nevét / jelszavát. Ráadásul plain textben.


    Az authentikációnál figyeljünk oda a következő dolgokra:
    - IP cim. csak erre nem szabad támaszkodni, európában nem divat, de amerikában, és főleg ázsiában nem egy netszolgálató van aki üzemeltet 10-20 http proxy-t amin a userek kijönnek a netre és amelyiknek kissebb a terhelése azon keresztül jön ki a kérés.
    - Ország. Ezt viszont tuti tudod ellenőrizni, geoIP (maxmind) segit a dologban, a fenti esetben sem vált országot a dolog. (AOL ország validációban csinál hülyeséget, de ott legalább az ip cimek fixek.)
    - Lehet böngésző tipust / accepted language-t ellenőirzni. Ez tuti fix, hogy nem változik.

    A random szám kiküldést, és ellenörzést nem feltétlenül tartom jó ötletnek, hiszen egy session tolvajt ugyan akadályozza, de a rendes böngészést is.



  6. #6
    Új tag
    Csatlakozott
    08-06-03
    Hozzászólás
    14
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: auth - login - avagy Session vs. Cookie

    Fura kérdés. Sütiben csak olyan adatot tárolunk, amit a user láthat és módosíthat anélkül, hogy ebből kárunk származna.

    A session ID-je is sütiben tárolódik, ezt lehet szépen lopni, deugye ehhez élő session kell. Ezért ajánlott a beléptetést így megoldani. Ha nagyon fifikás vagy, eltárolod session-be az ip címét, és ellenőrzöd, így még session-t sem tudnak lopni.

    Ha ilyen "megjegyzem a belépésedet" sütiben gondolkozol, akkor azt ajánlom, hogy a felhasználó nevét egy az egyben tárold lá, a jelszót viszont valamilyen egyirányú hash függvénnyel titkosítsd, felhasználva az ip címét. Értem ezelatt, hogy a jelszó ami a cookieban tárolódik legyen pl: md5("valami".$ip_első_három_szekciója.$jelszo)

    Ekkor ellenőrizni tudod a jelszót, hogy valid-e (előállítod te is a hasht), lopni csak ip tartományon belül tud (dinamikus ipk miatt csak tartományt tárolj), és baromi biztonságos, mert ha valaki el is lopja a cookie-t, akkor sem tudja meg a jelszót.

    Tapasztalataim szerint ez jól működik.

    Adminisztrációs felületekre pedig https (azaz ssl) és HTTP auth digest (nem basic) a legjobb. De ez már igazán csak hitvallás.



  7. #7
    'Say Hello To My Little Friend'
    Csatlakozott
    08-06-26
    Hozzászólás
    36
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: auth - login - avagy Session vs. Cookie

    érfekes.. én egy admin feluletettz meg a forumhoz ugy oldottam meg, hogy belepeskor generaltam tobb dologbol egy 32karakteres hash-elt valéamit, amit aztan direktben kuldozgettem ki a lapra.. innen mindig amikor meghivott egy oldalt kuldte nekem rejtve ezt a sort.. viszont minden egyes laphivaskor ellenoriztem hogy a nevhez rendelt hast kaptam e vissza! most gondolkozom azonm hackelheto volt e, mert sikeresen mukodott a dolog.. bar ha jobban belegondolok a firefoxban tenyleg van sutimahinalas, hiszen magam is csinaltam torrentoldalakra a sajat accjaimmal )) lasd xss



  8. #8
    Bölcs
    Csatlakozott
    07-08-28
    Hozzászólás
    832
    Begyűjtött 40 köszönetet
    30 hozzászólásával

    Alapbeállítás re: auth - login - avagy Session vs. Cookie

    Az xss és a süti mahinálás marhára nem ugyan az. V-soft légyszives ne keverd a fogalmakat.



  9. #9
    'Say Hello To My Little Friend'
    Csatlakozott
    08-06-26
    Hozzászólás
    36
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Szuper re: auth - login - avagy Session vs. Cookie

    igenis!
    bar az xsst arra irtam csinaltam egy sutilopast ami ugye xss-sel ment, es az igy ellopott sutiket varialtam a sajat accjaimon! akkro most volt xss vagy nem ?



  10. #10
    Operálandusz
    Csatlakozott
    07-11-04
    Hozzászólás
    138
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: auth - login - avagy Session vs. Cookie

    Közkedvelt téma ez itt, hadd írjak le én is néhány gondolatot.

    TLoF - mint számomra a leghitelesebb php kóder - véleményét osztva, http authentikáció nem javasolt.
    A sütiben csak és kizárólag a session id-t tárolnám, jelszót semmi esetre sem. Bár az md5 tényleg egyirányú hash-generátor, kismillió rainbow tábla létezik már, amivel a jelszavak zömét fel lehet deríteni. Nem ajánlott továbbá az sha1 sem, hasonló okokból. (Manapság a php5 hash() függvényét favorizálják, valamelyik tiger algoval.)

    A „jegyezz meg” funkció használatához sincs szükség több sütire, éppen csak kitolod a süti élettartamát egy évezreddel. (A többi a böngészőn múlik. Nyilván a megjegyzett sessionöket tényleg érdemes megjegyezni szerveroldalon is. )

    Ha teljes IP-t nem is egyeztetsz, 255.255.255.0-s maszkkal ugyanezt megteheted, nem kiszúrva azokkal az amerikai/ázsiai felhasználókkal, akik proxyk garmadáját használják tudtukon kívül. (Kösz az infóért, TLoF!)
    A fenti maszk szerint az IPv4 azonosítok háromnegyedét hasonlítod össze.

    Részben igazsága vagyon Zsének is, bár nekem nehezemre esne bármilyen formában letárolni a jelszót kliensoldalon.

    V-soft, xss-sel lehet sütit lopni, igen.



Oldal: 1 / 2 12 UtolsóUtolsó

A téma címkéi:

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •