Я много видел на своей жизни методов регистрации, защищенных и не очень, крутых и так себе. Так как я помешан на безопастности, я хочу понять, как сделать такое.
Пример работы
Всем знакомый сайт: ВКонтакте. Как там сделано? Там сейчас своровать куки нереально, так как проверка идет по кукам и ип. В хэш вписывается хеш ип адреса владельца, и, своровав куку, зайти на страницу не получится, так как ип не складывается с хешем. НО! У многих людей ип статический, поэтому...
Как сделать?
Как сделать так, чтобы при заходе, старая кука со старым IP не закидывала на страницу с логином. Ведь получается это как сессия. Как они обошли это ограничение? Кто знает? Я как-то думал на эту тему, вроде понял, но потом, благополучно забыл
Спустя 6 минут, 49 секунд (11.02.2011 - 22:09) uWeb написал(а):
Я много раз писал такую систему.
При входе записывай хеш в базу.
Хеш должен быть примерно такой: md5(ip . '_'. user_agent . '_' . user_password);
В куках записывай только user_id;
При просмотре странице делай запрос к базе и сверяй хеш.
При входе записывай хеш в базу.
Хеш должен быть примерно такой: md5(ip . '_'. user_agent . '_' . user_password);
В куках записывай только user_id;
При просмотре странице делай запрос к базе и сверяй хеш.
Спустя 11 минут, 14 секунд (11.02.2011 - 22:20) inpost написал(а):
ну вот, у меня поменялся ip, все равно меня запомнил сайт вконтакте. Может он запоминает лишь первые 2 числа? =)
Спустя 1 минута, 29 секунд (11.02.2011 - 22:21) alex12060 написал(а):
| Цитата |
| При просмотре странице делай запрос к базе и сверяй хеш. |
Ну допустим:
143.53.033.23 - IP
Opera/9.80 (X11; Linux i686; U; ru) Presto/2.7.62 Version/11.01 - User Agent
md5(123456) - Пароль
И после обновления ИП идет:
92.134.1.24 - IP
Opera/9.80 (X11; Linux i686; U; ru) Presto/2.7.62 Version/11.01 - User Agent
md5(123456) - Пароль
И идет проверка по ЮИД:
SELECT `hash` FROM `users` WHERE `uid`='$id'
Итог:
В базе: 7fe0a800d40f43256f51364a811ed48a
После обновы: a7f3b570964a1c894b1c67af9968029c
И нас кидает на логин.
Не, не вариант)
Хотя, может чего-то не догоняю)
Спустя 2 минуты, 22 секунды (11.02.2011 - 22:24) alex12060 написал(а):
inpost
У нас СЗТ в корне меняет ИП)
У нас СЗТ в корне меняет ИП)