Адрес в случае успешной аутентификации привязывается к сеансу работы в системе, и что? Если кто-то перехватил пароль и логин, что мешает использовать их после, когда время привязки уже вышло?
Спустя 14 минут, 5 секунд (20.10.2010 - 17:46) arvitaly написал(а):
| Цитата |
| Если кто-то перехватил пароль и логин, что мешает использовать их после, когда время привязки уже вышло? |
PHPSESSID а не логин и пароль
Спустя 17 минут, 4 секунды (20.10.2010 - 18:03) LRCenter написал(а):
Ну хорошо, но файлы сессий же все равно хранятся ограниченное время, и потом пользователь взял и привязался, а у него динамический ip, что тогда?
Спустя 1 час, 25 минут, 37 секунд (20.10.2010 - 19:28) arvitaly написал(а):
| Цитата |
| Ну хорошо, но файлы сессий же все равно хранятся ограниченное время, и потом пользователь взял и привязался, а у него динамический ip, что тогда? |
Ну знаете ли отключение подключение инета практически равносильно сбросу сессии. Это в оправдание - я лично так не делаю. Безопасность пользовательского компа - не мое дело
Спустя 24 минуты, 56 секунд (20.10.2010 - 19:53) LRCenter написал(а):
А что вообще дает эта привязка? Только то что одновоременно нельзя залогиниться с двух разных адресов? И причем тут безопасность? Чушь какая-то 
Спустя 16 минут, 2 секунды (20.10.2010 - 20:09) maximka787 написал(а):
Тут надо самому написать скрипт. И реализуется очень просто. Создаешь таблицу сессий. Когда юзер входит то попадает в таблицу активных юзеров (онлайн) а тут просто сравнивашь. Если логин активный то запрещаешь вход с другой сессии.
Спустя 15 минут, 49 секунд (20.10.2010 - 20:25) arvitaly написал(а):
| Цитата |
| А что вообще дает эта привязка? Только то что одновоременно нельзя залогиниться с двух разных адресов? И причем тут безопасность? Чушь какая-то |
Как причем если скопировать PHPSESSID - можно попасть заместо юзера в систему
Спустя 9 часов, 3 минуты, 1 секунда (21.10.2010 - 05:28) LRCenter написал(а):
arvitaly
А если авторизацию строить не на сессиях? А просто сохранять логин и пароль в кукисы?
А если авторизацию строить не на сессиях? А просто сохранять логин и пароль в кукисы?
Спустя 2 часа, 4 минуты, 31 секунда (21.10.2010 - 07:33) arvitaly написал(а):
| Цитата |
| arvitaly А если авторизацию строить не на сессиях? А просто сохранять логин и пароль в кукисы? |
и что?
Спустя 45 минут, 57 секунд (21.10.2010 - 08:19) linker написал(а):
Короче, развод ЦМС-барыг, не больше и не меньше. У них такого добра для лохов полным-полно припасено.
Спустя 9 часов, 1 минута, 11 секунд (21.10.2010 - 17:20) LRCenter написал(а):
т.е. если кукисы использовать вместо сессий, то от этой привязки ни тепло ни холодно?
Спустя 8 минут, 38 секунд (21.10.2010 - 17:28) arvitaly написал(а):
| Цитата |
| т.е. если кукисы использовать вместо сессий, то от этой привязки ни тепло ни холодно? |
какой привязки?
Спустя 53 минуты, 5 секунд (21.10.2010 - 18:21) LRCenter написал(а):
Ну я и говорю если сессии не используются, то какая нафиг может быть привязка 
Кстати что лучше использовать для авторизации - сессии или кукисы?
Кстати что лучше использовать для авторизации - сессии или кукисы?
Спустя 4 минуты, 13 секунд (21.10.2010 - 18:26) arvitaly написал(а):
| Цитата |
| Кстати что лучше использовать для авторизации - сессии или кукисы? |
Что лучше использовать для ремонта: молоток или отвертку?:
Спустя 10 минут, 5 секунд (21.10.2010 - 18:36) LRCenter написал(а):
arvitaly
Не очень понял вашу метафору. Почему нельзя ограничится одними кукисами?
Не очень понял вашу метафору. Почему нельзя ограничится одними кукисами?
Спустя 43 минуты, 10 секунд (21.10.2010 - 19:19) arvitaly написал(а):
| Цитата |
| Не очень понял вашу метафору. Почему нельзя ограничится одними кукисами? |
Почему для ремонта нельзя ограничиться одной отверткой?
Спустя 22 минуты, 24 секунды (21.10.2010 - 19:41) Guest написал(а):
LRCenter
допустим идентификатор сессии хранится в кукисах(сейчас это происходит на 99% сайтов)
представь, что будет если узнать(украсть) этот идентификатор и вставить к себе в куки в браузере? мы войдем в аккаунт юзера, которому принадлежит эта сессия.
Чтобы этого не произошло, когда пользователь авторизуется - привязываем к нему комбинацию айпи+браузер, потом сравниваем эту привязку с текущими айпи+браузер
допустим идентификатор сессии хранится в кукисах(сейчас это происходит на 99% сайтов)
представь, что будет если узнать(украсть) этот идентификатор и вставить к себе в куки в браузере? мы войдем в аккаунт юзера, которому принадлежит эта сессия.
Чтобы этого не произошло, когда пользователь авторизуется - привязываем к нему комбинацию айпи+браузер, потом сравниваем эту привязку с текущими айпи+браузер
Спустя 1 час, 2 минуты, 20 секунд (21.10.2010 - 20:44) LRCenter написал(а):
Guest
Это понятно. Непонятно зачем вообще использовать сессии? Почему бы просто не хранить пароль и логин в кукисах?
Это понятно. Непонятно зачем вообще использовать сессии? Почему бы просто не хранить пароль и логин в кукисах?
Спустя 56 минут, 44 секунды (21.10.2010 - 21:40) Guest написал(а):
LRCenter
мне кажется ты не совсем представляешь, что такое сессии и зачем они нужны.
мне кажется ты не совсем представляешь, что такое сессии и зачем они нужны.
Спустя 1 час, 29 минут, 2 секунды (21.10.2010 - 23:09) arvitaly написал(а):
| Цитата |
| мне кажется ты не совсем представляешь, что такое сессии и зачем они нужны |
я так долго пытался найти эти слова)
Спустя 6 часов, 44 минуты, 45 секунд (22.10.2010 - 05:54) LRCenter написал(а):
Представляю. Временное хранение данных в файлах на сервере. Аналог кукисов, только хранится на серве, а не в браузере.
Спустя 6 часов, 59 минут, 19 секунд (22.10.2010 - 12:53) Guest написал(а):
LRCenter
надеюсь результат каптчи ты тоже хранишь в куки, тогда мы идем к вам)))))
ну как бы получается не совсем аналог все-же - раз хранится на сервере))
надеюсь результат каптчи ты тоже хранишь в куки, тогда мы идем к вам)))))
ну как бы получается не совсем аналог все-же - раз хранится на сервере))
Спустя 15 минут, 44 секунды (22.10.2010 - 13:09) arvitaly написал(а):
| Цитата |
| надеюсь результат каптчи ты тоже хранишь в куки, тогда мы идем к вам))))) |
капча давно не проблема)))
Спустя 13 минут, 55 секунд (22.10.2010 - 13:23) LRCenter написал(а):
Guest
Дошло в общих чертах, результат капчи я храню в виде md5-отпечатка с "солью" в скрытом поле. Тут вполне можно без сессий обойтись.
arvitaly
Вам бы романы детективные писать - ничерта не понял из ваших метафор
Дошло в общих чертах, результат капчи я храню в виде md5-отпечатка с "солью" в скрытом поле. Тут вполне можно без сессий обойтись.
arvitaly
Вам бы романы детективные писать - ничерта не понял из ваших метафор
Спустя 53 минуты, 25 секунд (22.10.2010 - 14:17) arvitaly написал(а):
| Цитата |
| Вам бы романы детективные писать - ничерта не понял из ваших метафор |
Что тут непонятного. Сессия - для одних целей. Кука - для других. Молоток - для одних целей. Отвертка - для других.
Спустя 27 минут, 59 секунд (22.10.2010 - 14:45) twin написал(а):
| Цитата |
| Это понятно. Непонятно зачем вообще использовать сессии? Почему бы просто не хранить пароль и логин в кукисах? |
Это тоже самое, что написать пин-код на кредитной карточке.
Если уж украдут, то все сразу.
Если уж украдут, то все сразу.
Спустя 5 часов, 7 минут, 26 секунд (22.10.2010 - 19:52) SlavaFr написал(а):
Плохая идея привязыватся к ip-адрессу юзера, так как ip может менятся при каждом запросе.
Спустя 1 год, 4 месяца, 14 дней, 2 минуты, 42 секунды (6.03.2012 - 19:55) ПАЦАН написал(а):
для тех кто читает эту тему поясняю: хранить логин и пароль в куках небезопасно, их могут элементарно украсть. поэтому придумали хранить их в сессии, (либо хранить в сессии id авторизированного пользователя ) а в куках хранить только идентификатор сессии (кука с именем PHPSESSID). но её можно точно также украсть и подставить в свои куки, тем самым выдав себя за него. Но если в сессии будет храниться IP адрес пользователя, то такой метод не прокатит, так как IP адрес истинного владельца аккаунта и перехватившего куку будут различаться. аутентификация пройдёт только если $_SESSION['ip'] == $_SERVER['REMOTE_ADDR']. если они не равны, перехвативший куку не будет авторизирован.
_____________
Меньше кода - меньше багов ©