Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
Страницы: (4) 1 2 [3] 4  ( Перейти к первому непрочитанному сообщению )  
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Варианты авторизации
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8735
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 1 день
Карма: 591




Цитата (Медведь @ 14.02.2016 - 21:10)
Цитата (FatCat @ 7.02.2016 - 20:45)
Пароль шифруется и хранится в базе зашифрованный. По мне, md5 достаточно, но кто хочет, может с солью, не принципиально.
Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки.

$res  = md5(пароль);
$res .= $_SERVER['REMOTE_ADDR'];
$avt = md5($res);
$user_session = session_id();

Записать в таблицу ($avt, $user_session);
Записать в куки($avt);


Как то так?

много лишних движений.
Если нужно привязать сессию к IP, достаточно просто записать его в сессию и потом сравнивать. Ненужно почем зря хеши вычислять.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5903
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 24 дня
Карма: 125

Не пью :
22 года, 2 месяца, 27 дней


Принцип такой.
Но у меня сессии в БД. Пароль хранится в таблице паролей, а для авторизации таблица сессий.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Игорь_Vasinsky  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Лысый и злой
******

Профиль
Журнал
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 25980
Пользователь №: 21350
На форуме: 6 лет, 8 месяцев, 19 дней
Карма: 725

Не курю:
1 год, 2 месяца, 6 дней


на один айпи не стоит уповать, у нас район города на одном айпи сидит.
нужно ещё к чему нить привязаться.


--------------------
Халявные ответы кончились.
Если нужен готовый код - готовьтесь заплатить.
Райкин тоже был артист

Возле дома был сарай
А когда всё хорошо
Можно просто покурить

user posted image
http://ufa102.xyz/
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8735
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 1 день
Карма: 591




Цитата (FatCat @ 15.02.2016 - 05:13)
Принцип такой.
Но у меня сессии в БД. Пароль хранится в таблице паролей, а для авторизации таблица сессий.

Хранилище сессий тут роли не играет, какой смысл замешивать ip в идентификатор, если его можно просто хранить в той же таблице с сессиями?
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5903
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 24 дня
Карма: 125

Не пью :
22 года, 2 месяца, 27 дней


Цитата (killer8080 @ 15.02.2016 - 11:38)
какой смысл замешивать ip в идентификатор

Чтобы в случае угона куки не могли авторизоваться с другого айпишника.

Вероятность, что угонщик куки окажется с одинаковым айпи весьма мала.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 23 дня
Карма: 27




Мысли вслух. Для начала нужно отсечь перебор аккаунтов с помощью одного пароля, для этого вешаем на конкретный IP количество неудачных попыток входа. В связи с тем, что IP можно изменить, аналогичное нужно сделать и на перебор паролей под конкретный аккаунт, делаем количество неудачных попыток входа под конкретный аккаунт.

Что касается самой авторизации, как выше отметил Игорь, IP доверять нельзя, у многих он динамический (вводить пароль 10 раз blink.gif ) или на одном IP может сидеть небольшой посёлок.

Из всего этого у нас имеется блокировка на тупой перебор ) Дальше печеньку или сессию, многие предлагают последнее, так и поступим )) Хотя нагрузка на сервер, ну да ладно. Что туда запишем? Ваши предложения )


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 23 дня
Карма: 27




В сессию записать:

Пользователь в таблице авторизации (id при каждой авторизации) + user agent?

Если произойдёт подмена, то скидываем?


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5903
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 24 дня
Карма: 125

Не пью :
22 года, 2 месяца, 27 дней


Цитата (Медведь @ 16.02.2016 - 13:43)
для этого вешаем на конкретный IP количество неудачных попыток входа

То есть, поле в таблице и специальный код только для защиты от брута?

ИМХО, любой посетитель, создающий избыточную нагрузку на сервер - это вредный посетитель, и его нужно блокировать.
И не важно, брутит ли он пароли, или ворует информацию в сплог, или просто линки считает. В таблице сессии пишется time() от каждого запроса любой страницы. Меньше 2 секунд от записанного до текущего запроса - предупреждение о недопустимости двойных кликов по ссылкам и минус единичку в карму. Набрал -50 в карме - бан на 10 суток.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 23 дня
Карма: 27




Буду знать ) А как с пауками поисковиков? И что касается второго пункта?

В случае верной пары, логин и пароль, записать в таблицу авторизации id пользователя.
В сессию записать id авторизации + user agent.


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5903
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 24 дня
Карма: 125

Не пью :
22 года, 2 месяца, 27 дней


Цитата (Медведь @ 16.02.2016 - 18:08)
как с пауками поисковиков?

Так же как с зарегистрированными - для них нет проверки на нагрузку.
Мы их и видим на главной в списке посетителей по именам.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 23 дня
Карма: 27




Цитата (FatCat @ 16.02.2016 - 19:49)
Цитата (Медведь @ 16.02.2016 - 18:08)
как с пауками поисковиков?

Так же как с зарегистрированными - для них нет проверки на нагрузку.
Мы их и видим на главной в списке посетителей по именам.

Поделитесь, как вы находите этих пауков? )


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5903
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 24 дня
Карма: 125

Не пью :
22 года, 2 месяца, 27 дней


Цитата (Медведь @ 17.02.2016 - 04:45)
как вы находите этих пауков?

Есть список основных ботов. Для начала по списку.
Дальше отслеживать айпишники, создающие большую нагрузку, пробивать по gethostbyaddr и решать: если "полезный", то добавлять к списку полезных ботов, если нет, то банить наравне со шламмерами.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 23 дня
Карма: 27




Цитата (FatCat @ 17.02.2016 - 07:58)
Цитата (Медведь @ 17.02.2016 - 04:45)
как вы находите этих пауков?

Есть список основных ботов.

Понял уже, что у вас есть, поэтому и спрашиваю, может поделитесь )


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5903
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 24 дня
Карма: 125

Не пью :
22 года, 2 месяца, 27 дней


Цитата (Медведь @ 17.02.2016 - 07:09)
поделитесь

if ( preg_match( '/(YandexBlogs|googlebot|google-proxy|slurp@inktomi|ask jeeves|lycos|whatuseek|ia_archiver|aport|yandexbot|stackrambler|yahoo|msnbot|webalta|Mail.Ru|bingbot| mj12bot|exabot|baiduspider|hosttracker|AhrefsBot|SputnikBot|BLEXBot)/i', $s_user_agent, $match ) )


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    1   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8735
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 1 день
Карма: 591




Цитата (FatCat @ 15.02.2016 - 22:33)
Чтобы в случае угона куки не могли авторизоваться с другого айпишника.

но для этого необязательно его совать в хеш.

Цитата (FatCat @ 15.02.2016 - 22:33)
Вероятность, что угонщик куки окажется с одинаковым айпи весьма мала.


куки уводят двумя способами: через XSS дырку (если есть), либо сниффингом. От первого можно защитится флагом httponly (ну и само собой уязвимостей не допускать smile.gif ), от второго только шифрование трафика. Сниффинг происходит чаще всего на последней миле, и она очень часто бывает за NAT-ом, так что привязка ip не особа полезна, а в случае с автологином и не допустима. лучше уж тогда переходить на https.


Цитата (Медведь @ 16.02.2016 - 14:43)
Дальше печеньку или сессию, многие предлагают последнее, так и поступим )) Хотя нагрузка на сервер, ну да ладно.

Я вот не пойму откуда такое стойкое предубеждение против сессий? Какая нагрузка? Неужели ты правда думаешь что десереализация маленького файлика создаёт такой напряг серверу? Поверь это далеко не самое узкое место. wink.gif Но если такая уж паранойя по поводу одного лишнего обращения к hdd. ну так вынеси хранилище на tmpfs.
Цитата (Медведь @ 16.02.2016 - 14:43)
Из всего этого у нас имеется блокировка на тупой перебор )

а что такое тупой перебор? Как ты его себе представляешь? Попробуй для начала посчитать какое количество запросов подбора в секунду выдержит твой сервер, прежде чем упасть, и какое количество комбинаций нужно перебрать, и сколько в твоем случае на это уйдёт времени. wink.gif
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темыСтраницы: (4) 1 2 [3] 4  Ответ в темуСоздание новой темыСоздание опроса