Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению )  
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Защита авторизации
RootPM  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Местный житель
****

Профиль
Группа: Пользователь
Сообщений: 169
Пользователь №: 43443
На форуме: 2 месяца, 4 дня
Карма: 1




Какие защиты вы используете для защиты авторизации? Допустим записываем в сессию id пользователя, а что дальше? Дальше можно подобрать идентификатор сессии или угнать cookie с открытым wi-fi и зайти под этим пользователем.

P.S. Получилось отсюда - Авторизация


--------------------
Все будет офигенно. Кому-то сразу, кому-то постепенно.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
TranceIT  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



...Один я одинаковый...
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 1731
Пользователь №: 19760
На форуме: 7 лет, 17 дней
Карма: 58




Про куки можете сразу забыть. Это незащищенное хранилище на стороне пользователя. В куках ни при каких условиях нельзя хранить важную информацию.

Цитата (RootPM @ 14.11.2016 - 09:08)
Дальше можно подобрать идентификатор сессии

К тому моменту как вы подберете идентификатор сессия или умрет или информация в ней будет уже не актуальной.


--------------------
Безвозмездно помогаю только тем, кто сам пытается что-то сделать.

Остальным за WMR
Даже если там 10 строк кода!
Даже если мне это ничего не стоит!
Даже если вы нуб!

user posted image
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Another Reality  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Старик
***

Профиль
Группа: Пользователь
Сообщений: 124
Пользователь №: 41606
На форуме: 1 год, 4 месяца, 17 дней
Карма: 5




Цитата (RootPM @ 14.11.2016 - 11:08)
Дальше можно подобрать идентификатор сессии

Просто на примере общеизвестного OpenCart, вот такие идентификаторы о генерит: z49mQ3GQhfJY0sGi7DWjoz1KrNDDgXQ4

62^32 вариантов, удачи в подборе.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
RootPM  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Местный житель
****

Профиль
Группа: Пользователь
Сообщений: 169
Пользователь №: 43443
На форуме: 2 месяца, 4 дня
Карма: 1




Цитата (TranceIT @ 14.11.2016 - 11:27)
К тому моменту как вы подберете идентификатор сессия или умрет или информация в ней будет уже не актуальной.

Такая вероятность существует, хоть и небольшая.

Цитата
или угнать cookie с открытым wi-fi и зайти под этим пользователем.

Не поверю, если тут никто из программистов не защищает сессии, у меня есть варианты, но сначала хотел услышать что используется на практике и доказало свою эффективность.


--------------------
Все будет офигенно. Кому-то сразу, кому-то постепенно.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
RootPM  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Местный житель
****

Профиль
Группа: Пользователь
Сообщений: 169
Пользователь №: 43443
На форуме: 2 месяца, 4 дня
Карма: 1




Подождём ещё немного, может кто нибудь ещё поделится своим опытом. Хотел вот ещё что спросить, если стоит галочка запомнить меня, в куки что лучше записать? Чтобы когда сессия закончится авторизовать пользователя.



--------------------
Все будет офигенно. Кому-то сразу, кому-то постепенно.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
TranceIT  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



...Один я одинаковый...
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 1731
Пользователь №: 19760
На форуме: 7 лет, 17 дней
Карма: 58




Цитата (RootPM @ 14.11.2016 - 14:21)
Подождём ещё немного, может кто нибудь ещё поделится своим опытом. Хотел вот ещё что спросить, если стоит галочка запомнить меня, в куки что лучше записать? Чтобы когда сессия закончится авторизовать пользователя.


Я бы хранил для пользователя в базе какой-нибудь ключ. Например md5(логин . соль . пасс) и по нему определял кто пришел.


--------------------
Безвозмездно помогаю только тем, кто сам пытается что-то сделать.

Остальным за WMR
Даже если там 10 строк кода!
Даже если мне это ничего не стоит!
Даже если вы нуб!

user posted image
PM
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Zzepish  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Аццкая хрень
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 5475
Пользователь №: 32538
На форуме: 4 года, 6 месяцев, 8 дней
Карма: 49




Кстати - хороший вопрос! Думаю - с https -тема не очень актуально (разве что не будет темы с man-in-the-middle). Но ситуация разруливается с помощью электронной подписи (вроде бы как)


--------------------
Правда тоже ложь, но с иным углом.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
RootPM  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Местный житель
****

Профиль
Группа: Пользователь
Сообщений: 169
Пользователь №: 43443
На форуме: 2 месяца, 4 дня
Карма: 1




Цитата (TranceIT @ 14.11.2016 - 16:55)
Я бы хранил для пользователя в базе какой-нибудь ключ. Например md5(логин . соль . пасс) и по нему определял кто пришел.

Писать в cookie пользователя пароль, даже его хеш - не лучшая идея, также как и использовать mt_rand().

Вариант: логин + соль в хеше норм., но как безопасно сгенерировать эту соль отдельно для каждого пользователя?


--------------------
Все будет офигенно. Кому-то сразу, кому-то постепенно.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Astin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 592
Пользователь №: 42519
На форуме: 9 месяцев, 21 день
Карма: 7




Если ты хочешь отдельную соль для каждого юсера, то наверно нужно ее хранить в бд для каждого юсера, ну и доставать ее потом для сравнения кто пришел, будешь ты ее в хеш кидать или как, там сам прикинешь, но придется в бд постоянно лазить для сравнения кто зашел на сайт
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
RootPM  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Местный житель
****

Профиль
Группа: Пользователь
Сообщений: 169
Пользователь №: 43443
На форуме: 2 месяца, 4 дня
Карма: 1




Astin

Цитата
Хотел вот ещё что спросить, если стоит галочка запомнить меня, в куки что лучше записать? Чтобы когда сессия закончится авторизовать пользователя.


т.е. записываем id пользователя и хеш в cookie, это нужно чтобы авторизовать пользователя, когда у него закончится сессия. Постоянно лазить в эту таблицу не нужно, а вопрос том как безопасно сгенерировать этот хеш (он будет в куках пользователя и на сервере в DB)


--------------------
Все будет офигенно. Кому-то сразу, кому-то постепенно.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
RootPM  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Местный житель
****

Профиль
Группа: Пользователь
Сообщений: 169
Пользователь №: 43443
На форуме: 2 месяца, 4 дня
Карма: 1




Цитата (Zzepish @ 14.11.2016 - 16:55)
Кстати - хороший вопрос! Думаю - с https -тема не очень актуально (разве что не будет темы с man-in-the-middle). Но ситуация разруливается с помощью электронной подписи (вроде бы как)

HTTPS - даёт небольшую защиту только от начинающих ..., этот протокол уже не раз взламывали. Как пользователя заставить использовать электронную подпись?) А ещё идеи или предложения есть?

Например такой вариант: Предложить пользователю поставить галочку - дополнительная защита, после чего создать в сессии md5 IP+user_agent


--------------------
Все будет офигенно. Кому-то сразу, кому-то постепенно.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Astin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 592
Пользователь №: 42519
На форуме: 9 месяцев, 21 день
Карма: 7




Я бы несоветовал делать обычный хеш типа md5( Id, mail, рандомное число и еще что то) так как такой вариант можно взломать по перебору, для этого даже есть пару прог, но они вообще расчитаны на проверку безопасности, но обычный мд5 поломать можно, я б навено хранил примерно такой хеш md5(sh-какой хочешь(md5(mail, id).md5(рандомное число плюс соль)), короче как то так, чем сложнее тем лучше. В куки и в бд и пишем этот хеш, если сессия кончалась, то делаем проверку, если есть хеш в куках, то лезим в бд и сверяем, если такой есть то берем id юсера и пишем в сессию, если юсер изначально не желал его запомнить, значит нет кук и показываем форму входа. И еще, если нет сессии и есть куки, то обнавляем хеш в бд и далее пишем id юсера в сессию, ну и работвем с его id
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
RootPM  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Местный житель
****

Профиль
Группа: Пользователь
Сообщений: 169
Пользователь №: 43443
На форуме: 2 месяца, 4 дня
Карма: 1




Цитата (Astin @ 15.11.2016 - 09:45)
И еще, если нет сессии и есть куки, то обнавляем хеш в бд и далее пишем id юсера в сессию, ну и работвем с его id

А если пользователь зашёл с ПК, потом с телефона. Зашёл домой, а его просят ввести пароль?)


--------------------
Все будет офигенно. Кому-то сразу, кому-то постепенно.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Astin  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 592
Пользователь №: 42519
На форуме: 9 месяцев, 21 день
Карма: 7




Ну так и пусть авторизируется с телефлна. Браузеры же разные и устройства тоже. Честно не разу не замечал чтоб было так, с компа зашел а на андроеде к примеру уже авторизирован. Не, так скорее не выйдет и если выйдет то не нужно так. обязатеоьно нужно проверять актуальность данных.
Тебе вообще что надо? Безопасность или что другое
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Zzepish  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Аццкая хрень
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 5475
Пользователь №: 32538
На форуме: 4 года, 6 месяцев, 8 дней
Карма: 49




RootPM
Именно взламывали ? Или man a in a the a middle?
Насколько я знаю: RSA взломать анрил


--------------------
Правда тоже ложь, но с иным углом.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темыСтраницы: (2) [1] 2  Ответ в темуСоздание новой темыСоздание опроса