Всем привет!
Сейчас я делаю скрипт регистрации и авторизации. У меня есть идея как работать с хэшами. Например: пользователь авторизировался, и сразу ему генирируется хэш. Далее этот хэш идёт в куки пользователю и сессию. Чтобы если куки "угонят" там была какая не какая защита.
Скажите ребят это будет безопасно и будет ли это нести повышенную нагрузку на сервер, или так все делают?
Полная Версия: Работа с хэшами пользователей
если куку угонят, а в ней твой секретный хеш - о какой безопасности говоришь ты?
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Игорь_Vasinsky
Как какая? IP, браузер(!). Всё это очень качественно помогает против такого.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Как какая? IP, браузер(!). Всё это очень качественно помогает против такого.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
мало ли. может он просто isset() делать собрался.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата (inpost @ 16.10.2012 - 22:21) |
| Игорь_Vasinsky Как какая? IP, браузер(!). Всё это очень качественно помогает против такого. |
Ну а хеш и дополнительные куки то тут зачем? Просто писать их в сессию, и все
Qvatro, пишите только в сессию ид/логин пользователя, и проверяйте свой код, чтобы не угоняли куки.
_____________
VPS от 5$, первые 2 месяца - бесплатно.
_____________
VPS от 5$, первые 2 месяца - бесплатно.
спасибо! учту
killer8080
зачем это записывать в куки? Я этого не говорил, я говорил, что есть такие, а куда писать - программист сам додумается уже! Я о том, что записать браузер или ip на стороне сервера, и проверять в дальнейшем, чтобы всё совпадало. Если сессия - можно в сессию, если автоавторизация на будущее, то в БД.
Я это сказал Игорю, что если Куки угонят, есть ещё дополнительные защиты, на этом безопасность не обрывается.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
зачем это записывать в куки? Я этого не говорил, я говорил, что есть такие, а куда писать - программист сам додумается уже!
Я о том, что записать браузер или ip на стороне сервера, и проверять в дальнейшем, чтобы всё совпадало. Если сессия - можно в сессию, если автоавторизация на будущее, то в БД.Я это сказал Игорю, что если Куки угонят, есть ещё дополнительные защиты, на этом безопасность не обрывается.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата (inpost @ 17.10.2012 - 13:45) |
| Я это сказал Игорю, что если Куки угонят, есть ещё дополнительные защиты, на этом безопасность не обрывается. |
Значит я тебя не правильно понял, решил что это по теме дополнительного хеша и кук.
Qvatro
Идентификатор сессии и есть своего рода хеш. То есть одно второе заменяет, не вижу смысла.
Нужен для автоавторизации, когда уже сессия умерла.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Идентификатор сессии и есть своего рода хеш. То есть одно второе заменяет, не вижу смысла.
Нужен для автоавторизации, когда уже сессия умерла.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Здесь расположена полная версия этой страницы.