В общем встала задача сделать сквозную авторизацию между 2мя сайтами.
Посидел подумал и решил что куки единственный приемлемый для меня вариант. И так, я записываю в куки ID человек и зашифрованную смесь хешированного пароля с солью. Соль в свою очередь состоят из смеси буквосимвольного набора, идентификатора сайта и IP пользователя. Вопрос. Каковы шансы украсть и авторизоваться под такой кукой?
Спустя 30 минут, 16 секунд (21.08.2012 - 20:47) johniek_comp написал(а):
DarkLynx
смотря как ты авторизироваешь юзера
смотря как ты авторизироваешь юзера
Спустя 25 минут, 20 секунд (21.08.2012 - 21:12) DarkLynx написал(а):
А что есть много вариантов авторизации с такими куками? =))
По-моему только один =))
По-моему только один =))
Спустя 40 минут, 12 секунд (21.08.2012 - 21:53) inpost написал(а):
сначала ответь на такой вопрос: как делается "запомнить пароль", то есть вход без ручной авторизации. Далее ответ №2: точно так же, только не зарание, а в случае захода человека на сайт №2 - авторизировать через автоавторизацию.
Спустя 1 час, 7 минут, 40 секунд (21.08.2012 - 23:00) DarkLynx написал(а):
Мне не нужно это объяснять я это все прекрасно знаю. Меня интересует именно вопрос безопасности..
Спустя 9 часов, 7 минут, 12 секунд (22.08.2012 - 08:08) inpost написал(а):
Равная, как и на других схемах. Украли - авторизировались.
Спустя 3 минуты, 23 секунды (22.08.2012 - 08:11) Игорь_Vasinsky написал(а):
| Цитата |
| IP пользователя. |
вот тут то твои юзеры и бороднутся) ты думаешь все на статических ip сидят?
Спустя 3 минуты, 46 секунд (22.08.2012 - 08:15) inpost написал(а):
ip не заметил. И вправду, ты не только не позволишь другим людям украсть эти куки, но и самим людям авторизироваться 
Спустя 25 минут, 9 секунд (22.08.2012 - 08:40) Игорь_Vasinsky написал(а):
вообще если есть угроза шизофренизма - в таких случаях можно усложнять процесс авторизации, например добавить поле "ключ" и менять его каждый день в полночь + отсылать на мыло зарегенным 
Спустя 14 минут, 6 секунд (22.08.2012 - 08:54) DarkLynx написал(а):
Менять схему авторизации не представляется возможным.
На счет IP.. Если IP сменился пользователь и не должен автоматически авторизовываться.
За ответы спасибо..
На счет IP.. Если IP сменился пользователь и не должен автоматически авторизовываться.
За ответы спасибо..
Спустя 2 часа, 8 минут, 32 секунды (22.08.2012 - 11:02) Hello написал(а):
| Цитата (DarkLynx @ 22.08.2012 - 09:54) |
| Менять схему авторизации не представляется возможным. На счет IP.. Если IP сменился пользователь и не должен автоматически авторизовываться. За ответы спасибо.. |
У большинства провайдеров ADSL IP меняется минимум раз в 24 часа, ты предлагаешь пользователю каждый день логиниться?
Спустя 11 минут, 58 секунд (22.08.2012 - 11:14) killer8080 написал(а):
| Цитата (Hello @ 22.08.2012 - 12:02) |
| У большинства провайдеров ADSL IP меняется минимум раз в 24 часа, ты предлагаешь пользователю каждый день логиниться? |
А вот тут надо решать, что важнее в конкретном случае, безопасность, или удобство пользования
Спустя 3 минуты, 27 секунд killer8080 написал(а):
| Цитата (DarkLynx @ 21.08.2012 - 21:17) |
| В общем встала задача сделать сквозную авторизацию между 2мя сайтами. |
Сайты хоть на одном домене?
Спустя 4 минуты, 54 секунды (22.08.2012 - 11:19) Игорь_Vasinsky написал(а):
| Цитата |
| Сайты хоть на одном домене? |
как это?
Спустя 1 час, 21 минута, 5 секунд (22.08.2012 - 12:40) killer8080 написал(а):
| Цитата (Игорь_Vasinsky @ 22.08.2012 - 12:19) | ||
как это? |
Имелось ввиду, висят ли сайты на субдоменах одного доиена.
Спустя 3 минуты, 40 секунд (22.08.2012 - 12:44) Игорь_Vasinsky написал(а):
ааа....
Спустя 2 часа, 29 минут, 30 секунд (22.08.2012 - 15:14) DarkLynx написал(а):
Вы немного не поняли. Задача была в том что бы сделать не сохранение авторизации на сутки, недели и тп.. А избавить пользователей от повторной авторизации на 2-м сайте если он уже авторизовался на 1-м.
Вот вы спрашиваете меня про домены, говорите про смену IP, я написал я это все знаю, и все работает как часы, я поднял лишь вопрос по безопасности на который получил ответ в подтверждение своих мыслей.
И да естественно сайты на одном доменном имени.
Вот вы спрашиваете меня про домены, говорите про смену IP, я написал я это все знаю, и все работает как часы, я поднял лишь вопрос по безопасности на который получил ответ в подтверждение своих мыслей.
И да естественно сайты на одном доменном имени.
Спустя 20 минут, 38 секунд (22.08.2012 - 15:34) killer8080 написал(а):
DarkLynx
кража кук бесполезна само по себе, раз они привязаны к ip, но если кто то, как то узнает механизм генерации хеша, то из краденых кук можно будет извлекать пароли.
кража кук бесполезна само по себе, раз они привязаны к ip, но если кто то, как то узнает механизм генерации хеша, то из краденых кук можно будет извлекать пароли.