Téma: auth - login - avagy Session vs. Cookie

tehát akkor te cross-platformos vagy. szép dolog

BlackY eredeti hozzászólása

Sessiont. Sütit user pofátlanul felülírja
Ha be akarod magad biztosítani, akkor:
- minden auth-nál generálsz egy mondjuk 32 karakteres random stringet (md5(rand(0, 1000), pl.), ezt eltárolod session-ben, és kiküldüd sütiben
- a következő auth-nál már tudod nézni, hogy a session és a süti stimmel-e, ha nem, akkor kilépteted a usert (session-t lop, vagy ilyesmi), ha igen, új kulcsot generálsz, kiküldöd és kezdődik az egész előlről.

Sütit max az "emlékezz rám" adatok mentésére ajánlott használni, ebben az esetben meg ajánlom ennek az áttanulmányozását.

BlackY

Köszönöm
Pont ez a következő téma amit szeretnék kicsit körüljárni.

Nem értem a kérdést. A session adatai szintén cookie-ben tárolódnak, csak egy 0 -s lifetime -al rendelkező, csak a böngésző futási idejében létező, elvileg csak a memóriában tárolt érték. Firefox alatt a hamisitásához vannak pluginek. (mindenki keresse meg )

Szóval a jó kérdés: ha beléptető rendszert csinálsz, akkor te session/süti vagy http authentikációt használsz ?

Erre pedig a válasz az hogy session/süti alapokon lehet megbizhatóbb rendszert csinálni. Hiszen ebben az esetben nem küldi el a rendszer minden egyes lapletöltéshez a felhasználó nevét / jelszavát. Ráadásul plain textben.


Az authentikációnál figyeljünk oda a következő dolgokra:
- IP cim. csak erre nem szabad támaszkodni, európában nem divat, de amerikában, és főleg ázsiában nem egy netszolgálató van aki üzemeltet 10-20 http proxy-t amin a userek kijönnek a netre és amelyiknek kissebb a terhelése azon keresztül jön ki a kérés.
- Ország. Ezt viszont tuti tudod ellenőrizni, geoIP (maxmind) segit a dologban, a fenti esetben sem vált országot a dolog. (AOL ország validációban csinál hülyeséget, de ott legalább az ip cimek fixek.)
- Lehet böngésző tipust / accepted language-t ellenőirzni. Ez tuti fix, hogy nem változik.

A random szám kiküldést, és ellenörzést nem feltétlenül tartom jó ötletnek, hiszen egy session tolvajt ugyan akadályozza, de a rendes böngészést is.

Fura kérdés. Sütiben csak olyan adatot tárolunk, amit a user láthat és módosíthat anélkül, hogy ebből kárunk származna.

A session ID-je is sütiben tárolódik, ezt lehet szépen lopni, deugye ehhez élő session kell. Ezért ajánlott a beléptetést így megoldani. Ha nagyon fifikás vagy, eltárolod session-be az ip címét, és ellenőrzöd, így még session-t sem tudnak lopni.

Ha ilyen "megjegyzem a belépésedet" sütiben gondolkozol, akkor azt ajánlom, hogy a felhasználó nevét egy az egyben tárold lá, a jelszót viszont valamilyen egyirányú hash függvénnyel titkosítsd, felhasználva az ip címét. Értem ezelatt, hogy a jelszó ami a cookieban tárolódik legyen pl: md5("valami".$ip_első_három_szekciója.$jelszo)

Ekkor ellenőrizni tudod a jelszót, hogy valid-e (előállítod te is a hasht), lopni csak ip tartományon belül tud (dinamikus ipk miatt csak tartományt tárolj), és baromi biztonságos, mert ha valaki el is lopja a cookie-t, akkor sem tudja meg a jelszót.

Tapasztalataim szerint ez jól működik.

Adminisztrációs felületekre pedig https (azaz ssl) és HTTP auth digest (nem basic) a legjobb. De ez már igazán csak hitvallás.

érfekes.. én egy admin feluletettz meg a forumhoz ugy oldottam meg, hogy belepeskor generaltam tobb dologbol egy 32karakteres hash-elt valéamit, amit aztan direktben kuldozgettem ki a lapra.. innen mindig amikor meghivott egy oldalt kuldte nekem rejtve ezt a sort.. viszont minden egyes laphivaskor ellenoriztem hogy a nevhez rendelt hast kaptam e vissza! most gondolkozom azonm hackelheto volt e, mert sikeresen mukodott a dolog.. bar ha jobban belegondolok a firefoxban tenyleg van sutimahinalas, hiszen magam is csinaltam torrentoldalakra a sajat accjaimmal )) lasd xss

Az xss és a süti mahinálás marhára nem ugyan az. V-soft légyszives ne keverd a fogalmakat.

igenis!
bar az xsst arra irtam csinaltam egy sutilopast ami ugye xss-sel ment, es az igy ellopott sutiket varialtam a sajat accjaimon! akkro most volt xss vagy nem ?