No kérdéskört nyitok kedves php devek !
Ha választanotok kell egy autentikációnál (ha fogalmazhatok ilyen csunya magyaritott szóval) sessiont vagy cookie-t részesítitek előnyben, és miért.
Hasonló témák:
No kérdéskört nyitok kedves php devek !
Ha választanotok kell egy autentikációnál (ha fogalmazhatok ilyen csunya magyaritott szóval) sessiont vagy cookie-t részesítitek előnyben, és miért.
Hasonló témák:
Cyrusmagus.hu - Informatika, Fantasy, Blog, Irások
Sessiont. Sütit user pofátlanul felülírja
Ha be akarod magad biztosítani, akkor:
- minden auth-nál generálsz egy mondjuk 32 karakteres random stringet (md5(rand(0, 1000), pl.), ezt eltárolod session-ben, és kiküldüd sütiben
- a következő auth-nál már tudod nézni, hogy a session és a süti stimmel-e, ha nem, akkor kilépteted a usert (session-t lop, vagy ilyesmi), ha igen, új kulcsot generálsz, kiküldöd és kezdődik az egész előlről.
Sütit max az "emlékezz rám" adatok mentésére ajánlott használni, ebben az esetben meg ajánlom ennek az áttanulmányozását.
BlackY
Utoljára módosítva: BlackY által : 2007-05-21 11:03 Oka: Rossz url :)
tehát akkor te cross-platformos vagy. szép dolog
Nem értem a kérdést. A session adatai szintén cookie-ben tárolódnak, csak egy 0 -s lifetime -al rendelkező, csak a böngésző futási idejében létező, elvileg csak a memóriában tárolt érték. Firefox alatt a hamisitásához vannak pluginek. (mindenki keresse meg )
Szóval a jó kérdés: ha beléptető rendszert csinálsz, akkor te session/süti vagy http authentikációt használsz ?
Erre pedig a válasz az hogy session/süti alapokon lehet megbizhatóbb rendszert csinálni. Hiszen ebben az esetben nem küldi el a rendszer minden egyes lapletöltéshez a felhasználó nevét / jelszavát. Ráadásul plain textben.
Az authentikációnál figyeljünk oda a következő dolgokra:
- IP cim. csak erre nem szabad támaszkodni, európában nem divat, de amerikában, és főleg ázsiában nem egy netszolgálató van aki üzemeltet 10-20 http proxy-t amin a userek kijönnek a netre és amelyiknek kissebb a terhelése azon keresztül jön ki a kérés.
- Ország. Ezt viszont tuti tudod ellenőrizni, geoIP (maxmind) segit a dologban, a fenti esetben sem vált országot a dolog. (AOL ország validációban csinál hülyeséget, de ott legalább az ip cimek fixek.)
- Lehet böngésző tipust / accepted language-t ellenőirzni. Ez tuti fix, hogy nem változik.
A random szám kiküldést, és ellenörzést nem feltétlenül tartom jó ötletnek, hiszen egy session tolvajt ugyan akadályozza, de a rendes böngészést is.
Fura kérdés. Sütiben csak olyan adatot tárolunk, amit a user láthat és módosíthat anélkül, hogy ebből kárunk származna.
A session ID-je is sütiben tárolódik, ezt lehet szépen lopni, deugye ehhez élő session kell. Ezért ajánlott a beléptetést így megoldani. Ha nagyon fifikás vagy, eltárolod session-be az ip címét, és ellenőrzöd, így még session-t sem tudnak lopni.
Ha ilyen "megjegyzem a belépésedet" sütiben gondolkozol, akkor azt ajánlom, hogy a felhasználó nevét egy az egyben tárold lá, a jelszót viszont valamilyen egyirányú hash függvénnyel titkosítsd, felhasználva az ip címét. Értem ezelatt, hogy a jelszó ami a cookieban tárolódik legyen pl: md5("valami".$ip_első_három_szekciója.$jelszo)
Ekkor ellenőrizni tudod a jelszót, hogy valid-e (előállítod te is a hasht), lopni csak ip tartományon belül tud (dinamikus ipk miatt csak tartományt tárolj), és baromi biztonságos, mert ha valaki el is lopja a cookie-t, akkor sem tudja meg a jelszót.
Tapasztalataim szerint ez jól működik.
Adminisztrációs felületekre pedig https (azaz ssl) és HTTP auth digest (nem basic) a legjobb. De ez már igazán csak hitvallás.
érfekes.. én egy admin feluletettz meg a forumhoz ugy oldottam meg, hogy belepeskor generaltam tobb dologbol egy 32karakteres hash-elt valéamit, amit aztan direktben kuldozgettem ki a lapra.. innen mindig amikor meghivott egy oldalt kuldte nekem rejtve ezt a sort.. viszont minden egyes laphivaskor ellenoriztem hogy a nevhez rendelt hast kaptam e vissza! most gondolkozom azonm hackelheto volt e, mert sikeresen mukodott a dolog.. bar ha jobban belegondolok a firefoxban tenyleg van sutimahinalas, hiszen magam is csinaltam torrentoldalakra a sajat accjaimmal )) lasd xss
Az xss és a süti mahinálás marhára nem ugyan az. V-soft légyszives ne keverd a fogalmakat.
igenis!
bar az xsst arra irtam csinaltam egy sutilopast ami ugye xss-sel ment, es az igy ellopott sutiket varialtam a sajat accjaimon! akkro most volt xss vagy nem ?
Közkedvelt téma ez itt, hadd írjak le én is néhány gondolatot.
TLoF - mint számomra a leghitelesebb php kóder - véleményét osztva, http authentikáció nem javasolt.
A sütiben csak és kizárólag a session id-t tárolnám, jelszót semmi esetre sem. Bár az md5 tényleg egyirányú hash-generátor, kismillió rainbow tábla létezik már, amivel a jelszavak zömét fel lehet deríteni. Nem ajánlott továbbá az sha1 sem, hasonló okokból. (Manapság a php5 hash() függvényét favorizálják, valamelyik tiger algoval.)
A „jegyezz meg” funkció használatához sincs szükség több sütire, éppen csak kitolod a süti élettartamát egy évezreddel. (A többi a böngészőn múlik. Nyilván a megjegyzett sessionöket tényleg érdemes megjegyezni szerveroldalon is. )
Ha teljes IP-t nem is egyeztetsz, 255.255.255.0-s maszkkal ugyanezt megteheted, nem kiszúrva azokkal az amerikai/ázsiai felhasználókkal, akik proxyk garmadáját használják tudtukon kívül. (Kösz az infóért, TLoF!)
A fenti maszk szerint az IPv4 azonosítok háromnegyedét hasonlítod össze.
Részben igazsága vagyon Zsének is, bár nekem nehezemre esne bármilyen formában letárolni a jelszót kliensoldalon.
V-soft, xss-sel lehet sütit lopni, igen.
Könyvjelzők