PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация по сессии

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (3): « 1 2 [3]

Без описания

Поиск в теме | Версия для печати

fdr21	Отправлено: 24 Июня, 2012 - 19:36:36
Гость Покинул форум Сообщений всего: 86 Дата рег-ции: Июнь 2012 Помог: 5 раз(а)	Цитата: Да и вообще,автор темы хотел совсем другое,он хотел чтоб 2 ПОЛЬЗОВАТЕЛЯ не могли сидеть под 1 учеткой. По мне у нас как раз это и получится, у нас будет, только один пользователь на сайте который будет сидеть с этой учеткой!

Local	Отправлено: 24 Июня, 2012 - 19:38:41
Новичок Покинул форум Сообщений всего: 15 Дата рег-ции: Июнь 2012 Помог: 0 раз(а)	[quote=fdr21][/quote] Если через хеш то да,но я никак не пойму почему некоторые пытаются показать что способ плохой ибо сам пользователь может перенести куки с хешем и логином? Если так рассуждать то тогда на всех сайтах надо убрать авторизацию,ибо 99 процентов сайта используют куки для хранения пользовательской информации(логин,пароль)

Anguis	Отправлено: 24 Июня, 2012 - 19:39:00
Частый гость Покинул форум Сообщений всего: 253 Дата рег-ции: Июнь 2012 Помог: 2 раз(а)	EuGen, тут вот ведь в чем дело, ясен караул что все можно подделать, тут суть в самой махинации. Объясню. Вот злоумышленник нашел кукисы, а у меня там один всего параметр - Kjhzefvuh78bh8gh со значением JHf7yhw8rhw3*Y7y78y3r8wrhw78y7ra. Злоумышленник то не в курсе, что тут закодирован юзерагент, айпи и бог его знает что и первое что он попробует - просто подставить куки и заголовки (и то врятли), вот тут-то его ключевой промах. Скрипт обнаруживает несоответствие фактических данных с записями в куках и в базе и аннулирует сессию. Все. Больше, как ему не биться, ни куда он не зайдет (если пароль юзера не подберет).. Я еще используюю "уникальную" куку. Значение, сгенерированное случайным образом и хранящееся в базе до следующего обращения. Со следующим обращением она изменяется. Несоответствие её тоже приводит к аннулированию сессии. Т.е. комбинации множества приемов позволяют добиться почти идеального результата. А стопроцентной безопасности по-моему не достичь никогда.

fdr21	Отправлено: 24 Июня, 2012 - 19:42:04
Гость Покинул форум Сообщений всего: 86 Дата рег-ции: Июнь 2012 Помог: 5 раз(а)	Цитата: ЗАЧЕМ одному и тому же пользователю,брать куки с кешем с одного девайса и нести их на другой?? Пришла идея в голову, зачем пользователю может потребоваться сидеть на двух или более компах. Допустим у нас сайт с платным доступом и очень интересный. Пользователь может зарегится один раз, и потом оптом перепродать свою учетку, или свои куки)))

Local	Отправлено: 24 Июня, 2012 - 19:43:52
Новичок Покинул форум Сообщений всего: 15 Дата рег-ции: Июнь 2012 Помог: 0 раз(а)	Anguis пишет: EuGen, тут вот ведь в чем дело, ясен караул что все можно подделать, тут суть в самой махинации. Объясню. Вот злоумышленник нашел кукисы, а у меня там один всего параметр - Kjhzefvuh78bh8gh со значением JHf7yhw8rhw3Y7y78y3r8wrhw78y7ra. Злоумышленник то не в курсе, что тут закодирован юзерагент, айпи и бог его знает что и первое что он попробует - просто подставить куки и заголовки (и то врятли), вот тут-то его ключевой промах. Скрипт обнаруживает несоответствие фактических данных с записями в куках и в базе и аннулирует сессию. Все. Больше, как ему не биться, ни куда он не зайдет (если пароль юзера не подберет).. Я еще используюю "уникальную" куку. Значение, сгенерированное случайным образом и хранящееся в базе до следующего обращения. Со следующим обращением она изменяется. Несоответствие её тоже приводит к аннулированию сессии. Т.е. комбинации множества приемов позволяют добиться почти идеального результата. А стопроцентной безопасности по-моему не достичь никогда. Не стоит забывать что у основной доли пользователей ип меняется причем динамично каждый час. (Добавление)* fdr21 пишет: Цитата: ЗАЧЕМ одному и тому же пользователю,брать куки с кешем с одного девайса и нести их на другой?? Пришла идея в голову, зачем пользователю может потребоваться сидеть на двух или более компах. Допустим у нас сайт с платным доступом и очень интересный. Пользователь может зарегится один раз, и потом оптом перепродать свою учетку, или свои куки))) Тоже глупость Достаточно один раз повторно авторизоваться и хеш станет другим,что повлечет за собой разлогивание другого пользователя.

fdr21	Отправлено: 24 Июня, 2012 - 19:55:37
Гость Покинул форум Сообщений всего: 86 Дата рег-ции: Июнь 2012 Помог: 5 раз(а)	Цитата: Достаточно один раз повторно авторизоваться и хеш станет другим Если вы тут подразумеваете свой пример, то его можно обойти, без повторной авторизации, просто передать куки ХЕША!!! (Отредактировано автором: 24 Июня, 2012 - 19:56:11)

Local	Отправлено: 24 Июня, 2012 - 19:56:58
Новичок Покинул форум Сообщений всего: 15 Дата рег-ции: Июнь 2012 Помог: 0 раз(а)	[quote=fdr21][/quote] Ну если только браузер дрявый или админ сайта криворукий то тогда другой вопрос.

EuGen	Отправлено: 24 Июня, 2012 - 20:31:38
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	В общем, если пользователь знает, как устроены сессии и заинтересован подделать свою авторизацию - он это сделает. И первое, что он попытается - имитировать полностью свое окружение. А вопрос все тот же и он 100% не разрешим, как я уже и говорил - из-за невозможности разделять внутри одной php-сессии разные сессии авторизации. Дальнейшее, мне кажется, не имеет смысла. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Поиск в теме | Версия для печати

Страниц (3): « 1 2 [3]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.