Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Какой самый надежный способ аутентификации ? [2]
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
А как лучше сделать? Убрать последние два вызова сессии? Но так не будет работать скрипт. (Добавление)
OrmaJever пишет:
1) зачем начинать сесию 3 раза в одном файле? строки 10, 18 и 23
2) trigger_error(mysql_error().$query) Это чтобы пользователь знал имя таблицы и путь к файлам для будущего взлома?
Помогите пожалуйста привести этот код в идальное состояние.
Что либо в коде можно усовершенствовать так, что бы вероятность взлома снизить до минимум, и что бы можно было назвать это хорошей защитой?
OrmaJever
Отправлено: 18 Апреля, 2011 - 01:45:14
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
armancho7777777 пишет:
и что бы можно было назвать это хорошей защитой
Способов взлома и разных уязвимостей много и для каждой из них нужна своя маленькая хитрость, в общем сесии надежный способ, но взломать могут не конкретно эту страницу. Ведь на сайте будет много страниц, и вот маленькая дыра в одной из них и вся работа коту под хвост, поэтому будьте внимательны когда пишите другие скрипты.
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
armancho7777777
Отправлено: 18 Апреля, 2011 - 01:47:19
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
OrmaJever пишет:
armancho7777777 пишет:
и что бы можно было назвать это хорошей защитой
Способов взлома и разных уязвимостей много и для каждой из них нужна своя маленькая хитрость, в общем сесии надежный способ, но взломать могут не конкретно эту страницу. Ведь на сайте будет много страниц, и вот маленькая дыра в одной из них и вся работа коту под хвост, поэтому будьте внимательны когда пишите другие скрипты.
Спасибо большое OrmaJever!
OrmaJever
Отправлено: 18 Апреля, 2011 - 01:52:07
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
Ну ещё вот код немного подправил и убрал несколько лишних строк
if(isset($_SESSION['user_id']) AND $_SESSION['ip']==$_SERVER['REMOTE_ADDR']):
// здесь должен быть какой то код.
else:
?>
<form method="POST">
<input type="text" name="auth_name"><br><br>
<input type="password" name="auth_pass"><br><br>
<input type="submit"><br>
</form>
<?endif;?>
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
armancho7777777
Отправлено: 18 Апреля, 2011 - 02:03:20
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
О, ну за это, OrmaJever, сугубо, лично, от всей души, благодарствую!) (Добавление)
А как уничтожить сессию при закрытии вкладки? Только JS?
destus
Отправлено: 18 Апреля, 2011 - 05:48:57
Гость
Покинул форум
Сообщений всего: 107
Дата рег-ции: Апр. 2011
Помог: 4 раз(а)
Самый надёжный способ имхо это при авторизации посылать смс с паролем для вхождения в систему.
armancho7777777
Отправлено: 18 Апреля, 2011 - 05:50:40
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
destus пишет:
Самый надёжный способ имхо это при авторизации посылать смс с паролем для вхождения в систему.
Для авторизации, или регистрации?
albertinisuel
Отправлено: 18 Апреля, 2011 - 09:07:41
Новичок
Покинул форум
Сообщений всего: 29
Дата рег-ции: Февр. 2011
Помог: 0 раз(а)
destus пишет:
Самый надёжный способ имхо это при авторизации посылать смс с паролем для вхождения в систему.
Вы можете привести хотя бы пару отечественных примеров сервисов, которые так делают ?
nikob
Отправлено: 19 Апреля, 2011 - 11:44:36
Новичок
Покинул форум
Сообщений всего: 58
Дата рег-ции: Апр. 2011
Помог: 1 раз(а)
albertinisuel пишет:
destus пишет:
Самый надёжный способ имхо это при авторизации посылать смс с паролем для вхождения в систему.
Вы можете привести хотя бы пару отечественных примеров сервисов, которые так делают ?
LiqPay
В качестве логина используется номер мобильного телефона, каждый раз при входе на телефон приходит СМС с одноразовым девятизначным паролем, который нужно ввести для входа.
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
nikob пишет:
albertinisuel пишет:
destus пишет:
Самый надёжный способ имхо это при авторизации посылать смс с паролем для вхождения в систему.
Вы можете привести хотя бы пару отечественных примеров сервисов, которые так делают ?
LiqPay
В качестве логина используется номер мобильного телефона, каждый раз при входе на телефон приходит СМС с одноразовым девятизначным паролем, который нужно ввести для входа.
Да, хорошая идея nikob, так и сделаю. Только будет 2 пароля.
Логин номер телефона, пароль - свой(постоянный).
Далее, если пароль верный, то второй пароль (одноразовый) высылается на телефон. Он вводится в поле, которое откроется после первой процедуры ввода логина и первого пароля.
Вроде супер Есть ещё у кого идеи?
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
Да стелефоном идея конешно самая лутше помоему, но для этого нужно много мороки.
Можно зделать с секретным вопросом и ip адресом, при регистрации добавляем ип с которого зарегестрировался пользователи и затем если при входе он сменился то спрашивать секретный вопрос.
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
armancho7777777
Отправлено: 19 Апреля, 2011 - 16:50:32
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
OrmaJever пишет:
Да стелефоном идея конешно самая лутше помоему, но для этого нужно много мороки.
Можно зделать с секретным вопросом и ip адресом, при регистрации добавляем ип с которого зарегестрировался пользователи и затем если при входе он сменился то спрашивать секретный вопрос.
Да, точно) Прямо десятизначная защита) (Добавление)
Nikob, молодчага, спасибо за идею!
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
"Нужно закрыть доступ со всех IP, которые входят в диапазон 0.0.0.0/0.0.0.0.0 и тогда, наконец, компьютерная безопасность будет соблюдена" (с)
Авторизация по телефону - вещь ненадежная, так как смс могут недосылаться/ досылаться с задержкой и т.п. (к примеру, допустимое время доставки по РФ 72 часа.) То есть, разумеется, это усиливает механизм защиты, но в ряде случаев мешает нормальной работе. Если такое и делать, то правильнее давать пользователю возможность выбора - включать такое или нет.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.