Выделяю пароль, который пришёл мне e-mail? капирую его, вставляю в поле для ввода пароля, удаляю последний символ, и даже 2, жму "вход" и все равно авторизируюсь. Хотя если тот же пароль ввожу в ручную, с клавы, и так же не дописываю последний символ, то как и должно быть, выдаёт ошибку.
Здравствуйте все!
Почему, когда я вставлял скопированный пароль и удаляю один-два символа с конца, авторизация всеравно проходит удачно? Вот часть кода:
Здравствуйте все!
Подскажите пожалуйста в чём проблема.
Выставляю время жизни сессии, как показано ниже (5 секунд это для теста), но сессия продолжает жить. Тестирую на денвере. Версия PHP 5.2
Эти две строчки кода прописаны сразу после session_start().
Есть организации, которы предоставляют услуги API SMS. Думал их услугами воспользоваться. Но, опять же, на сколько это безопасно? Вопрос. Но SMS-ки приходят сразу.
В принципе, можно и самому через скрипт, обычной функцией mail() высылать. Вместо адреса прописывается sms-шлюз оператора. Предоставляют все операторы, но не у всех просто работает корректно и без задержек.
Ну, в принципе, можно дублировать на e-mail ещё.
А скрипты я уже написал. Тестирую. Пока всё работает как надо.
"Нужно закрыть доступ со всех IP, которые входят в диапазон 0.0.0.0/0.0.0.0.0 и тогда, наконец, компьютерная безопасность будет соблюдена" (с)
Авторизация по телефону - вещь ненадежная, так как смс могут недосылаться/ досылаться с задержкой и т.п. (к примеру, допустимое время доставки по РФ 72 часа.) То есть, разумеется, это усиливает механизм защиты, но в ряде случаев мешает нормальной работе. Если такое и делать, то правильнее давать пользователю возможность выбора - включать такое или нет.
А какой именно диапазон адресов? Они, ведь, динамические. EuGen, можно по подробнее?)
Да стелефоном идея конешно самая лутше помоему, но для этого нужно много мороки.
Можно зделать с секретным вопросом и ip адресом, при регистрации добавляем ип с которого зарегестрировался пользователи и затем если при входе он сменился то спрашивать секретный вопрос.
Да, точно) Прямо десятизначная защита) (Добавление)
Nikob, молодчага, спасибо за идею!
Самый надёжный способ имхо это при авторизации посылать смс с паролем для вхождения в систему.
Вы можете привести хотя бы пару отечественных примеров сервисов, которые так делают ?
LiqPay
В качестве логина используется номер мобильного телефона, каждый раз при входе на телефон приходит СМС с одноразовым девятизначным паролем, который нужно ввести для входа.
Да, хорошая идея nikob, так и сделаю. Только будет 2 пароля.
Логин номер телефона, пароль - свой(постоянный).
Далее, если пароль верный, то второй пароль (одноразовый) высылается на телефон. Он вводится в поле, которое откроется после первой процедуры ввода логина и первого пароля.
Вроде супер Есть ещё у кого идеи?
Способов взлома и разных уязвимостей много и для каждой из них нужна своя маленькая хитрость, в общем сесии надежный способ, но взломать могут не конкретно эту страницу. Ведь на сайте будет много страниц, и вот маленькая дыра в одной из них и вся работа коту под хвост, поэтому будьте внимательны когда пишите другие скрипты.
А как лучше сделать? Убрать последние два вызова сессии? Но так не будет работать скрипт. (Добавление)
OrmaJever пишет:
1) зачем начинать сесию 3 раза в одном файле? строки 10, 18 и 23
2) trigger_error(mysql_error().$query) Это чтобы пользователь знал имя таблицы и путь к файлам для будущего взлома?
Помогите пожалуйста привести этот код в идальное состояние.