Полная Версия: Защита авторизации
| Цитата (Astin @ 15.11.2016 - 10:40) |
| Тебе вообще что надо? Безопасность или что другое |
Поддержка авторизации с нескольких устройств.
В этой теме сейчас обсуждается два вопроса:
1 Защита сессии от подбора или угона cookie идентификатора сессии
2 Безопасное создание хеша в куках пользователя, чтобы поставить сессию когда она закончится
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
| Цитата (Zzepish @ 15.11.2016 - 10:42) |
| RootPM Именно взламывали ? Или man a in a the a middle? Насколько я знаю: RSA взломать анрил |
Получали идентификатор сессии.
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
RootPM
Да куку от угона ты никак не защитишь, тут нужно не над куками трястись, а создать такой алгоритм, взломав который злоумышленник не сможет нагенерить других валидных ключей.
_____________
Безвозмездно помогаю только тем, кто сам пытается что-то сделать.
Остальным за WMR
Даже если там 10 строк кода!
Даже если мне это ничего не стоит!
Даже если вы нуб!
Да куку от угона ты никак не защитишь, тут нужно не над куками трястись, а создать такой алгоритм, взломав который злоумышленник не сможет нагенерить других валидных ключей.
_____________
Безвозмездно помогаю только тем, кто сам пытается что-то сделать.
Остальным за WMR
Даже если там 10 строк кода!
Даже если мне это ничего не стоит!
Даже если вы нуб!
TranceIT Конечно угон печенек он нас не зависит, я про то как уменьшить шансы воспользоваться угнанной кукой
| Цитата |
| Например такой вариант: Предложить пользователю поставить галочку - дополнительная защита, после чего создать в сессии md5(IP+user_agent) и сравнивать $_SESSION с $_SERVER (REMOTE_ADDR и HTTP_USER_AGENT) |
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
RootPM
Все это можно подделать!
Все это можно подделать!
| Цитата (Zzepish @ 15.11.2016 - 14:09) |
| RootPM Все это можно подделать! |
Можно, тогда какие варианты? Кроме https
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
RootPM
да ничего ты не сделаешь, имхо.
Разве что сертификация.
да ничего ты не сделаешь, имхо.
Разве что сертификация.
| Цитата (RootPM @ 15.11.2016 - 14:23) |
| Можно, тогда какие варианты? Кроме https |
https - единственный способ защиты веб трафика от сниффинга, и кстати достаточно надежный. Если используешь HSTS и secure для кук, пассивный перехват кук становится практически не возможным.
| Цитата (RootPM @ 15.11.2016 - 11:38) |
Цитата (Zzepish @ 15.11.2016 - 10:42) RootPM Именно взламывали ? Или man a in a the a middle? Насколько я знаю: RSA взломать анрил Получали идентификатор сессии. |
а пруфы есть? ssl strip не в счёт если что
Здесь расположена полная версия этой страницы.