Первый человек находится на сайте, где есть его личная и коммерческая информация. Скажем под логином USER.
В этот момент второй человек заходит на сайт под тем же логином USER т.е. знает пароль первого.
Что делать?
Конечно это может быть друг или он просто взял мобильник и сидя в туалете решил зайти на сайт с него.
Но может быть злодей, который узнал пароль и хочет почитать или изменить первого пользователя. Или вообще этот пароль выложили в сеть и все им пользуются.
Вот я и что делать думаю при регистрации второго юзера, запретить логиниться ему как бы нельзя. Выкинуть первого и сообщить ему об этом, чтоб срочно менял пароль?
Как думаете обойтись средствами php?
Спустя 5 минут, 10 секунд (2.03.2012 - 14:13) redreem написал(а):
я думаю сохранность пароля юзера - это его проблема. со своей стороны я лично НИКОГДА не гоняю пароль в гетах или постах. только его хэш. по сути я и пароля пользователей не знаю чисто технически.
Спустя 2 минуты, 10 секунд (2.03.2012 - 14:15) GET написал(а):
redreem
но это понятно...но что бы ты сделал в таком случае? оповестил пользователя?...можно конечно не замарачиваться и дать всем одновременно сидеть так еще легче.
но это понятно...но что бы ты сделал в таком случае? оповестил пользователя?...можно конечно не замарачиваться и дать всем одновременно сидеть так еще легче.
Спустя 1 минута, 17 секунд (2.03.2012 - 14:17) Guest написал(а):
Можно ip сравнивать.
Спустя 31 секунда (2.03.2012 - 14:17) Visman написал(а):
redreem, тогда как юзер заходит на сайт, вводит хэш своего пароля? 
Спустя 56 секунд (2.03.2012 - 14:18) Visman написал(а):
Guest, что толку, если телефон через другого провайдера вышел в сеть?
Спустя 13 секунд (2.03.2012 - 14:18) GET написал(а):
Guest
ну это не факт...целый район может под одним ip сидеть
ну это не факт...целый район может под одним ip сидеть
Спустя 11 секунд (2.03.2012 - 14:18) TMake написал(а):
A.B.C. сохраняй всю возможную инфу юзера, в плоть до разрешения экрана
Спустя 1 минута, 18 секунд (2.03.2012 - 14:20) redreem написал(а):
Visman
он вводит пароль. а на сервер шлется только хэш.
он вводит пароль. а на сервер шлется только хэш.
Спустя 1 минута, 4 секунды (2.03.2012 - 14:21) redreem написал(а):
A.B.C.
если сайт не связан с какой-то коммерческой или иной инфой, то пофиг что они там по 10 под 1 логинам ходят. а если связан - SSL - и усе.
если сайт не связан с какой-то коммерческой или иной инфой, то пофиг что они там по 10 под 1 логинам ходят. а если связан - SSL - и усе.
Спустя 59 секунд (2.03.2012 - 14:22) GET написал(а):
stepan
А для чего? Вопрос не в том, чтоб не дать чужому войти. Он и так должен входить если у него пароль и имя. Вопрос в том, что делать с первым.
Я подумал, что нужно обновить хэш пароля и соответственно первого выкинуть с предупреждением, чтоб менял пароль.
А для чего? Вопрос не в том, чтоб не дать чужому войти. Он и так должен входить если у него пароль и имя. Вопрос в том, что делать с первым.
Я подумал, что нужно обновить хэш пароля и соответственно первого выкинуть с предупреждением, чтоб менял пароль.
Спустя 53 секунды (2.03.2012 - 14:23) TMake написал(а):
| Цитата (redreem @ 2.03.2012 - 15:21) |
| SSL - и усе. |
ну да если денег нет на нормальный сертификат будет - предупреждение выскакивать.
Спустя 53 секунды (2.03.2012 - 14:23) GET написал(а):
redreem
предпологается там будет частная переписка по продажам, думаю, это считается коммерческой информацией.
предпологается там будет частная переписка по продажам, думаю, это считается коммерческой информацией.
Спустя 59 секунд (2.03.2012 - 14:24) TMake написал(а):
| Цитата (A.B.C. @ 2.03.2012 - 15:22) |
| Я подумал, что нужно обновить хэш пароля и соответственно первого выкинуть с предупреждением, чтоб менял пароль. |
я бы так и сделал.
Спустя 1 минута, 21 секунда (2.03.2012 - 14:26) killer8080 написал(а):
| Цитата (A.B.C. @ 2.03.2012 - 13:22) |
| Я подумал, что нужно обновить хэш пароля и соответственно первого выкинуть с предупреждением, чтоб менял пароль. |
Жестко
Спустя 11 секунд (2.03.2012 - 14:26) TMake написал(а):
| Цитата (A.B.C. @ 2.03.2012 - 15:23) |
| частная переписка по продажам |
тогда точно нужно думать в сторону ssl - ты же не хочешь что бы провайдеры от нечего делать начали ловить твои запросы
Спустя 11 секунд (2.03.2012 - 14:26) redreem написал(а):
A.B.C.
тогда я думаю надо выкидывать обоих, потому что ты не знаешь кто из них "верный".
а кто потом пароль восстановит себе через почту или еще как, тот и "прав".
тогда я думаю надо выкидывать обоих, потому что ты не знаешь кто из них "верный".
а кто потом пароль восстановит себе через почту или еще как, тот и "прав".
Спустя 1 минута, 17 секунд (2.03.2012 - 14:27) GET написал(а):
redreem
Но это еще жестче не админ, а зверь какой-то
Но это еще жестче
не админ, а зверь какой-то Спустя 31 секунда (2.03.2012 - 14:28) GET написал(а):
killer8080
| Цитата |
| Жестко |
посоветуй что-нибудь
Спустя 1 минута, 6 секунд (2.03.2012 - 14:29) redreem написал(а):
A.B.C.
Почему жестко?
Нормально.
Если мой пароль угнали я буду только благодарен что меня выкинули и сказали менять пароль.
Почему жестко?
Нормально.
Если мой пароль угнали я буду только благодарен что меня выкинули и сказали менять пароль.
Спустя 30 секунд (2.03.2012 - 14:30) TMake написал(а):
но деньги нужны для такого http://ssl.ru/ru/
Спустя 1 минута, 25 секунд (2.03.2012 - 14:31) killer8080 написал(а):
| Цитата (redreem @ 2.03.2012 - 13:26) |
| а кто потом пароль восстановит себе через почту или еще как, тот и "прав". |
Ну да, посидел дома за компом, забыл разлогинится, пришел на работу, и все ... Восстанавливай пароли
Весело.Может лучше ограничивать время жизни сессий?
Спустя 2 минуты, 14 секунд (2.03.2012 - 14:33) GET написал(а):
killer8080
ну это тоже...но все же есть вариант, что одновременный вход будет, востанавливать пароль это чересчур жесткий вариант, хотя...
ну это тоже...но все же есть вариант, что одновременный вход будет, востанавливать пароль это чересчур жесткий вариант, хотя...
Спустя 2 минуты, 27 секунд (2.03.2012 - 14:36) Ser18 написал(а):
Пользователь авторизуется при этом его записывают в БД, мол пользователь на сайте
Если кто-то пытается авторизоваться, а пользователь уже авторизован, то гоните его
Если кто-то пытается авторизоваться, а пользователь уже авторизован, то гоните его
Спустя 1 минута, 35 секунд (2.03.2012 - 14:37) GET написал(а):
Ser18
А как ты узнаешь, что пользователь авторизован, а не тупо закрыл браузер?
А как ты узнаешь, что пользователь авторизован, а не тупо закрыл браузер?
Спустя 33 секунды (2.03.2012 - 14:38) killer8080 написал(а):
| Цитата (A.B.C. @ 2.03.2012 - 13:28) |
| посоветуй что-нибудь |
Если сайт не связан с деньгами, имхо будет достаточно привязывать сессии к IP и браузеру.
| Цитата (redreem @ 2.03.2012 - 13:29) |
| Если мой пароль угнали я буду только благодарен что меня выкинули и сказали менять пароль. |
Ну тогда можно фиксировать активные сессии в базе, и юзеру выводить их список с указанием с каких ип адресов(провайдеров) и браузеров они открыты. И дать ему возможность самому прибить не нужные, если конечно оно вообще надо. У меня на этом форуме неколько активных сессий с разных машин, мне так удобней. чем каждый раз логинится. Защита должна быть адекватна охраняемому объекту.
Спустя 56 секунд (2.03.2012 - 14:39) killer8080 написал(а):
| Цитата (Ser18 @ 2.03.2012 - 13:36) |
| Если кто-то пытается авторизоваться, а пользователь уже авторизован, то гоните его |
забыл разлогинится в интернет кафе, и фиг зайдешь
Спустя 1 минута, 16 секунд (2.03.2012 - 14:40) GET написал(а):
killer8080
а мой пример про туалет, когда пользователь пошел в туалет и зашел сс мобильника? Другой браузер, другой IP
а мой пример про туалет, когда пользователь пошел в туалет и зашел сс мобильника? Другой браузер, другой IP
Спустя 1 минута, 17 секунд (2.03.2012 - 14:41) Ser18 написал(а):
| Цитата (A.B.C. @ 2.03.2012 - 14:37) |
| Ser18 А как ты узнаешь, что пользователь авторизован, а не тупо закрыл браузер? |
Записываете пользователя в БД на определенное время, например 5мин если через 5 мин запись не обновилась (пользователь не совершал ни каких действий на сайте), то он автоматически стирается с БД
Спустя 40 секунд (2.03.2012 - 14:42) killer8080 написал(а):
| Цитата (A.B.C. @ 2.03.2012 - 13:40) |
| а мой пример про туалет, когда пользователь пошел в туалет и зашел сс мобильника? Другой браузер, другой IP |
Другая сессия
Спустя 2 минуты, 43 секунды (2.03.2012 - 14:45) GET написал(а):
killer8080
Т.е. просто он логинится с мобильника да и все...у него и так другая сессия
Т.е. просто он логинится с мобильника да и все...у него и так другая сессия
Спустя 6 минут, 6 секунд (2.03.2012 - 14:51) killer8080 написал(а):
| Цитата (A.B.C. @ 2.03.2012 - 13:45) |
| Т.е. просто он логинится с мобильника да и все...у него и так другая сессия |
само собой, в целях безопасности можно сделать те ограничения, о которых я говорил, и не устанавливать кукам expire date, тогда они будут убиваться при закрытии окна браузера (по умолчанию), на случай если зашел с чужой машины и забыл выйти. Правда теряется удобство автологина, тут уж сам решай что важней.
Спустя 3 минуты, 53 секунды (2.03.2012 - 14:55) GET написал(а):
Ок. Всем большое спасибо.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.