Известно, что сессия и ее идентификатор определяются посредством файла cookie, в таком случае почему способ авторизации на сессиях считаться наиболее безопасным?
Спустя 4 минуты, 52 секунды (4.09.2012 - 00:38) inpost написал(а):
Авторизации на сессиях - не существует такого, поэтому не могу понять, что конкретно ты имеешь ввиду.
Спустя 3 минуты, 2 секунды (4.09.2012 - 00:41) TranceIT написал(а):
| Цитата (Guest @ 4.09.2012 - 00:33) |
| Известно, что сессия и ее идентификатор определяются посредством файла cookie, в таком случае почему способ авторизации на сессиях считаться наиболее безопасным? |
Потому что это не так.
Сессия и куки 2 разные вещи. И идентификатор сессии хранится в сессиях.
Сессия безопаснее чем куки потому, что куки хранятся на стороне пользователя, а сессия на стороне сервера.
Спустя 1 минута, 47 секунд (4.09.2012 - 00:43) inpost написал(а):
Сессия - способ хранения данных между страницами на сервере.
Ты пишешь ключ в куках: "вташфцтацшфтацфзатцфцфвштцфвтцшф", что совсем неудобен для подделки, и это значит, что данный ключ относится к сессии с таким идентификатором, где ты уже хранишь удобные тебе данные, такие как ID пользователя, который сейчас авторизировался. Хранить можно не в сессиях, можно ещё в файлах (хотя сессия и есть файл) или в БД (хотя БД и есть те же файлы).
Ты пишешь ключ в куках: "вташфцтацшфтацфзатцфцфвштцфвтцшф", что совсем неудобен для подделки, и это значит, что данный ключ относится к сессии с таким идентификатором, где ты уже хранишь удобные тебе данные, такие как ID пользователя, который сейчас авторизировался. Хранить можно не в сессиях, можно ещё в файлах (хотя сессия и есть файл) или в БД (хотя БД и есть те же файлы).
Спустя 26 секунд (4.09.2012 - 00:43) Guest написал(а):
а разве идентификатор сессии не храниться на стороне клиента, в виде куккис файла
Спустя 1 минута, 57 секунд (4.09.2012 - 00:45) Guest написал(а):
да и получаются следующие рекомендации по авторизации и идентефикации, пусть идет проверка по куккис логину и сессионому хешу
Спустя 40 секунд (4.09.2012 - 00:46) Guest написал(а):
но если сессия все равно зависит от куккисов, которые можно украсть то смысл в ней?
Спустя 4 минуты, 38 секунд (4.09.2012 - 00:50) inpost написал(а):
и? Клиент отправляет "вташфцтацшфтацфзатцфцфвштцфвтцшф" на сервер, а сервер возвращает ответ: "добрый день пользователь ID=7". Вот и всё, способ кодирования данных, своего рода. Если бы каждый мог в куках писать ID=7, то я подписался бы твоим ID. Вот и всё. А так как чтобы подписаться твоим ID - я должен подобрать длинный ключ, который работает на протяжении всего 20 минут - у меня уйдут года, пока я подберу нужный. А это уже ДДоС, и сервер тупо отрубит мой IP от запросов.
Спустя 19 секунд (4.09.2012 - 00:51) Guest написал(а):
т.е. получается что авторизация на сессиях так же не надежна как и на куккисах?
Спустя 51 секунда (4.09.2012 - 00:52) inpost написал(а):
Guest
Украли - твои проблемы. Сам виноват. А вот если подобрали или взломали - для этого и существует сложный ключ, ты делаешь защиту со своей стороны такой, чтобы никто не смог взломать сайт. А то, что украли - это аналогично с тем, что ты сейчас публично напишешь свой пароль, а потом будешь винить кого-то, что он его запомнил
Украли - твои проблемы. Сам виноват. А вот если подобрали или взломали - для этого и существует сложный ключ, ты делаешь защиту со своей стороны такой, чтобы никто не смог взломать сайт. А то, что украли - это аналогично с тем, что ты сейчас публично напишешь свой пароль, а потом будешь винить кого-то, что он его запомнил
Спустя 44 секунды (4.09.2012 - 00:52) Guest написал(а):
inpost
>
Если бы каждый мог в куках писать ID=7, то я подписался бы твоим ID.
но ведь можно украсть номинацию о кук кисах и подставить значения
>
Если бы каждый мог в куках писать ID=7, то я подписался бы твоим ID.
но ведь можно украсть номинацию о кук кисах и подставить значения
Спустя 2 минуты, 11 секунд (4.09.2012 - 00:54) inpost написал(а):
Guest
Ты идёшь на улице, у тебя из кармана украли кошелёк на 500$. Кто виноват? Ты или производитель кошелька? ТЫ(!). Цель ключа - убрать вину с владельца сайта, вот и всё. Если у тебя украли кошелёк, то ты во всём сам виноват.
Ты идёшь на улице, у тебя из кармана украли кошелёк на 500$. Кто виноват? Ты или производитель кошелька? ТЫ(!). Цель ключа - убрать вину с владельца сайта, вот и всё. Если у тебя украли кошелёк, то ты во всём сам виноват.
Спустя 31 секунда (4.09.2012 - 00:55) Guest написал(а):
inpost
скоординируйте плиз в двух словах на чем и как писать авторизацию и идентификацию, т.е. не мануал, а к пример:на сессиях в них держи хеш-пароль, а в куккисах передавай логин по ним и идентифицируй
скоординируйте плиз в двух словах на чем и как писать авторизацию и идентификацию, т.е. не мануал, а к пример:на сессиях в них держи хеш-пароль, а в куккисах передавай логин по ним и идентифицируй
Спустя 1 минута, 25 секунд (4.09.2012 - 00:56) Guest написал(а):
примеры ваши понятны но представьте, что если речь идет о банковской системе
Спустя 13 секунд (4.09.2012 - 00:57) inpost написал(а):
Ты говоришь про авто-авторизацию, когда человек спустя 2 дня зашел на сайт и был автоматически авторизирован?
Спустя 1 минута, 8 секунд (4.09.2012 - 00:58) inpost написал(а):
Guest
Я об этом и говорю, ты делаешь абсолютно всё то, чтобы с твоей стороны никто не смог взломать твой банк. Ты защитил систему и всё. Хотите, чтобы Ваши куки не воровали вируса - купите антивирус, иначе украдут пароли из кук или других документов. Это защита уже клиента, к которой ты не имеешь никакого отношения.
Я об этом и говорю, ты делаешь абсолютно всё то, чтобы с твоей стороны никто не смог взломать твой банк. Ты защитил систему и всё. Хотите, чтобы Ваши куки не воровали вируса - купите антивирус, иначе украдут пароли из кук или других документов. Это защита уже клиента, к которой ты не имеешь никакого отношения.
Спустя 1 минута, 30 секунд (4.09.2012 - 00:59) Guest написал(а):
ммммм это врятли на сессиях получится сделать, пока речь лишь о текущем сеансе до закрытия браузера
Спустя 2 минуты, 19 секунд (4.09.2012 - 01:02) Guest написал(а):
хотя конечно и о продолжительном отсутствии пользователя с последующей идентификацией хотелось бы послушать
Спустя 5 минут (4.09.2012 - 01:07) inpost написал(а):
Создал сессию, если человек авторизирован, пропиши в сессии его ID и всё, не парься.
Спустя 1 минута, 38 секунд (4.09.2012 - 01:08) Guest написал(а):
ну и давай те сразу вопрос
хеш пароль и логин содержатся в куккисах при обращениии к серверу производиться поиск на их соответствие в базе,если все гуд, выдается ифномрация, хеш пароль обновляется и записывается в базу
чем подобное решение отличается от решения на сессиях?
хеш пароль и логин содержатся в куккисах при обращениии к серверу производиться поиск на их соответствие в базе,если все гуд, выдается ифномрация, хеш пароль обновляется и записывается в базу
чем подобное решение отличается от решения на сессиях?
Спустя 1 минута, 59 секунд (4.09.2012 - 01:10) Guest написал(а):
inpost
>пропиши в сессии его ID
т.е. id из базы пользователей?
>пропиши в сессии его ID
т.е. id из базы пользователей?
Спустя 35 секунд (4.09.2012 - 01:11) inpost написал(а):
Так идёт авто-авторизация обычно. А авто-авторизация плоха тем, что воруется куки и человек потом подделывает запрос. Если мы не используем авто-авторизацию, то без обращения к сайту сессия умрёт через 20 минут и ключ сессии уже станет бесполезен. Именно поэтому "запомнить меня" всегда отмечается чекбоксом, то есть на свой страх и риск.
Спустя 8 часов, 6 минут, 31 секунда (4.09.2012 - 09:17) SlavaFr написал(а):
| Цитата (Guest @ 3.09.2012 - 22:51) |
| т.е. получается что авторизация на сессиях так же не надежна как и на куккисах? |
хранение ID- сесси в кукки надежней только тем, что твой ID не видно на прямую в урл-строке твоего browser и ты не передаеш его по ошибке другим людям посредством прямого копирования.
Когда это действительно надежней чем передача в урл?
Примеры:
1)Ты регестрируешся на форуме иле другой авторизированной системе найдя интерессную статью ты цитируеш чтото и иказываеш где нибудь урл на эту ссылку (вместе с ID-сессии). Система не в состояни отличить других людей кто использует эту урл в течении жизни ID-сесси от тебя и другим людям могут открытся участки программы которые предназначенны только для тебя.
2) в общественном месте ктото фотографирует твой монитор( интернеткафе, в метро с нотебуком ......) с урл и использует его в течении жизни ID-сесси.
Спустя 9 часов, 34 минуты, 16 секунд (4.09.2012 - 18:52) Guest написал(а):
inpost
авто-авторизация как устроена?
через ajax?
авто-авторизация как устроена?
через ajax?
Спустя 1 час, 41 минута, 18 секунд (4.09.2012 - 20:33) inpost написал(а):
Guest
А аякс зачем вообще? Ты открыл сайт, он получил от тебя данные и авторизировал.
Ты бы хоть в книжках почитал, или готовые примеры посмотрел.
А аякс зачем вообще? Ты открыл сайт, он получил от тебя данные и авторизировал.
Ты бы хоть в книжках почитал, или готовые примеры посмотрел.
Спустя 10 дней, 5 часов, 3 минуты, 58 секунд (15.09.2012 - 01:37) ZL0D3Y написал(а):
| Цитата (Guest @ 3.09.2012 - 21:56) |
| примеры ваши понятны но представьте, что если речь идет о банковской системе |
Для банковских систем, уважаемый, можно использовать двойную, тройную авторизацию)
Что то по типу - для начала генерим данные по пользовательскому айпишнику, браузеру и еще чему нибуть, ложим это все по мд5 в сессию, потом делаем то же самое с кукисами и , например, ложим еще и в базу (в обязательном порядке присоединять в разном порядке
) ну для полного счастья, потом каким нибудь хитрым алгоритмом влаживаем в еще один ключ сессии мд5 по сумме того, что у нас есть во всех 3х хранилищах и вуаля, у вас есть мегатрузащищенный ключ. Паранойя правда, но все же можно позаморачиватся Спустя 12 часов, 12 минут, 4 секунды (15.09.2012 - 13:49) inpost написал(а):
ZL0D3Y
Для банка идёт авторизация через мобилки. Самая надежная.
Для банка идёт авторизация через мобилки. Самая надежная.
Спустя 2 дня, 17 часов, 24 минуты, 7 секунд (18.09.2012 - 07:13) ZL0D3Y написал(а):
| Цитата (inpost @ 15.09.2012 - 10:49) |
| ZL0D3Y Для банка идёт авторизация через мобилки. Самая надежная. |
Я привел образный пример хранения данных о пользователе в момент его входа в систему банковскую, или вы, уважаемый и куки с сессиями на телефоне хранить будете?))