Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
Страницы: (4) [1] 2 3 ... Последняя » ( Перейти к первому непрочитанному сообщению )  
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Варианты авторизации
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2562
Пользователь №: 37963
На форуме: 3 года, 5 месяцев, 12 дней
Карма: 28




Какой вид авторизации применяете вы и какие из них наиболее практичны?


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
N0ob  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 799
Пользователь №: 37078
На форуме: 3 года, 9 месяцев, 20 дней
Карма: 13




Тут, скорее всего, все будут говорить про самый распространенный метод. И это СОЛЬ. Соответственно, у каждого юзера она своя, то бишь уникальна. Сохраняешь ее в куках и по ней вытаскиваешь данные из БД. А если уж совсем не заморачиваться, то хранишь инфу в сессии smile.gif
А вообще, самому интересно, кто и что предложит wink.gif
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2562
Пользователь №: 37963
На форуме: 3 года, 5 месяцев, 12 дней
Карма: 28




Вариантов много, мне интересно кто чем пользуется, где хранятся данные в сессиях или печеньках. Привязываете ли к пользователю IP и т.п.


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
dron4ik  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 1690
Пользователь №: 31058
На форуме: 5 лет, 12 дней
Карма: 24




таблица с данными, таблица с входом, при авторизации смотреть на первую и делать пометку во вторую с инфой о пользователе и хеше под дивайс, повторно сравнивая куки с этими данными... или как?)


--------------------
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2562
Пользователь №: 37963
На форуме: 3 года, 5 месяцев, 12 дней
Карма: 28




У всех так?


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
depp  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 332
Пользователь №: 40589
На форуме: 2 года, 1 месяц, 19 дней
Карма: 21




не у всех. я, например, использую более сложный механизм, который описывать достаточно долго.
ес-но, на клиенте никакой соли в печеньках, и уж тем более паролей. и никаких сессий PHPSESSION. вся инфа об авторизациях только в базе. это позволяет контролировать сессии. в куку идет id сессии (сложный хеш 32-40 сивмола) + ключ авторизации (сложный хэш 32-40 символов) + id пользователя ( храню как число в куке). ключ авторизации обновляется с той периодичностью, которую я ему задам, а это может быть от секунды до бесконечности. соотв-но если куку уведут, то врядли с ней что-то сделают, так как даже зная id сессии и id пользователя - попробуя зайти с этими данными - кука уничтожается и сессия пользователя удаляется из базы, так как она скомпрометирована.
хэш пароля при этом нигде не светится. он хранится только в базе. как и сама соль. у каждого юзера ес-но свои уникальные соли.

на вход стоит опр. кол-во попыток захода с одного ип. если кол-во раз для набора пароля превысит допустимое значение - включается непродолжительная блокировка по ip на вход, либо капча - это позволяет отсекать перебор паролей.

ну и еще много всяких деталей, которые расписывать очень долго и нудно, но которые обеспечивают высочайший уровень безопасности системы.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3408
Пользователь №: 38635
На форуме: 3 года, 26 дней
Карма: 174




Цитата (depp @ 5.02.2016 - 22:11)
но которые обеспечивают высочайший уровень безопасности системы

Да кто же ломится в лоб в пароли? Кому они нужны? Это моветон.

Отлично защищенные пароли, это не более чем вот это: smile.gif
user posted image


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 1 месяц, 18 дней
Карма: 10




Цитата (depp @ 6.02.2016 - 00:11)
на вход стоит опр. кол-во попыток захода с одного ип. если кол-во раз для набора пароля превысит допустимое значение - включается непродолжительная блокировка по ip на вход, либо капча - это позволяет отсекать перебор паролей.


каким способом ip наверняка определить, например если он динамичный? Если не тайна.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3408
Пользователь №: 38635
На форуме: 3 года, 26 дней
Карма: 174




Цитата (casper - gg @ 6.02.2016 - 07:21)
каким способом ip наверняка определить, например если он динамичный? Если не тайна.

Точно таким же, как и статичный.


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Valick  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 5557
Пользователь №: 35718
На форуме: 4 года, 2 месяца, 3 дня
Карма: 170




AllesKlar, речь шла не об определении IP как таковом, а о соотвествии определённого IP конкретному пользователю.


--------------------
wmr - R281553014107
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2562
Пользователь №: 37963
На форуме: 3 года, 5 месяцев, 12 дней
Карма: 28




Цитата (casper - gg @ 6.02.2016 - 09:21)
Цитата (depp @ 6.02.2016 - 00:11)
на вход стоит опр. кол-во попыток захода с одного ип. если кол-во раз для набора пароля превысит допустимое значение - включается непродолжительная блокировка по ip на вход, либо капча - это позволяет отсекать перебор паролей.


каким способом ip наверняка определить, например если он динамичный? Если не тайна.

Даже если динамичный, сколько раз он поменяется? ) Через прокси тоже самое, никаких денег не хватит.

Тут нужен ещё механизм отслеживания, сколько раз было неудачных попыток входа под конкретный аккаунт.


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 1 месяц, 18 дней
Карма: 10




Цитата (AllesKlar @ 6.02.2016 - 11:50)
Точно таким же, как и статичный.

Цитата (Valick @ 6.02.2016 - 13:33)
AllesKlar, речь шла не об определении IP как таковом, а о соотвествии определённого IP конкретному пользователю.


и то и другое верно. Выходит что смысл в использовании ip от "брутфорса" как бы ничего не дает. Не думаю что для подобного рода вредителей ip составляет хоть какую-то преграду. Кто же из таких будет всегда делать подборы с одного и того же ip. Вот про подсчеты количества подбора к одному и тому же аккаунту - уже какой никакой но толк будет.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5959
Пользователь №: 1
На форуме: 10 лет, 11 месяцев, 16 дней
Карма: 126

Не пью :
22 года, 4 месяца, 16 дней


Цитата (casper - gg @ 6.02.2016 - 14:32)
Вот про подсчеты количества подбора к одному и тому же аккаунту - уже какой никакой но толк будет.

ИМХО, избыточно сложно.
Сколько нужно нормальному пользователю чтобы ввести логин и пароль? Секунд 10 как минимум.
В таблице мемберов делается поле - время запроса авторизации. Если с прошлого запроса прошло менее 10 секунд - фигу вместо авторизации. Независимо от айпишника. И пусть желающие брутфорсят с задержкой в 10 секунд... пока не состарятся.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    1   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2562
Пользователь №: 37963
На форуме: 3 года, 5 месяцев, 12 дней
Карма: 28




FatCat А запоминание логинов и паролей бразером, чтобы нажать на кнопку нужна 1-2 секунды.


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3408
Пользователь №: 38635
На форуме: 3 года, 26 дней
Карма: 174




Цитата (FatCat @ 6.02.2016 - 14:08)
Сколько нужно нормальному пользователю чтобы ввести логин и пароль? Секунд 10 как минимум.

лютый +
Вот этим и отличается здравый разум от горя от ума, коим любят некоторые тыкать, наивно полагая, что оно кому-то будет интересно.

Цитата (Медведь @ 6.02.2016 - 14:13)
FatCat А запоминание логинов и паролей бразером, чтобы нажать на кнопку нужна 1-2 секунды.

Твой браузер либо запомнил правильную пару логин/пароль, и авторизация прошла без задержки, либо неправильную пару, и тебе придется вводить заново, а это уже
Цитата
Секунд 10 как минимум.


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темыСтраницы: (4) [1] 2 3 ... Последняя » Ответ в темуСоздание новой темыСоздание опроса