[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Регистрация без "угона"
alex12060
Предистория:

Я много видел на своей жизни методов регистрации, защищенных и не очень, крутых и так себе. Так как я помешан на безопастности, я хочу понять, как сделать такое.

Пример работы

Всем знакомый сайт: ВКонтакте. Как там сделано? Там сейчас своровать куки нереально, так как проверка идет по кукам и ип. В хэш вписывается хеш ип адреса владельца, и, своровав куку, зайти на страницу не получится, так как ип не складывается с хешем. НО! У многих людей ип статический, поэтому...

Как сделать?

Как сделать так, чтобы при заходе, старая кука со старым IP не закидывала на страницу с логином. Ведь получается это как сессия. Как они обошли это ограничение? Кто знает? Я как-то думал на эту тему, вроде понял, но потом, благополучно забыл wink.gif



Спустя 6 минут, 49 секунд (11.02.2011 - 22:09) uWeb написал(а):
Я много раз писал такую систему.

При входе записывай хеш в базу.
Хеш должен быть примерно такой: md5(ip . '_'. user_agent . '_' . user_password);

В куках записывай только user_id;
При просмотре странице делай запрос к базе и сверяй хеш.

Спустя 11 минут, 14 секунд (11.02.2011 - 22:20) inpost написал(а):
ну вот, у меня поменялся ip, все равно меня запомнил сайт вконтакте. Может он запоминает лишь первые 2 числа? =)

Спустя 1 минута, 29 секунд (11.02.2011 - 22:21) alex12060 написал(а):
Цитата
При просмотре странице делай запрос к базе и сверяй хеш.


Ну допустим:

143.53.033.23 - IP
Opera/9.80 (X11; Linux i686; U; ru) Presto/2.7.62 Version/11.01 - User Agent
md5(123456) - Пароль

И после обновления ИП идет:

92.134.1.24 - IP
Opera/9.80 (X11; Linux i686; U; ru) Presto/2.7.62 Version/11.01 - User Agent
md5(123456) - Пароль

И идет проверка по ЮИД:

SELECT `hash` FROM `users` WHERE `uid`='$id'


Итог:

В базе: 7fe0a800d40f43256f51364a811ed48a
После обновы: a7f3b570964a1c894b1c67af9968029c

И нас кидает на логин.

Не, не вариант)
Хотя, может чего-то не догоняю)

Спустя 2 минуты, 22 секунды (11.02.2011 - 22:24) alex12060 написал(а):
inpost

У нас СЗТ в корне меняет ИП)
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.