Вечный вопрос по авторизации

Всем привет! Не вникал углубленно в тему безопасности, поэтому возник вопросик. Достаточно ли будет использовать для входа в админку сайта только сессии? Для уточнения: никаких "новых регистраций" через веб-интерфейс не будет, в кукисах ничего не сохраняется (модератор вводит данные при каждом новом посещении), пароль хорошо шифруется (XOR).

Достаточно. Дополнительно - включите также http_only для сессий для затруднения XSS-атак.
Ещё один способ укрепить безопасность - привязывать сессию к IP-адресу посетителя (записывая его в ту же сессию), и, при смене адреса, разрывать сессию и предлагать авторизоваться снова.

- значит, плохо шифруется, потому что достаточно двух перехваченных сообщений с XOR, чтобы расшифровать данные (если речь идёт о "классическом" XOR). Используйте хеш-функцию + соль.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Не будет ли проблем, если ip динамический?

Да, думаю, что вы правы.

Deonis
Смена IP-адреса, как правило, происходит редко (раз в несколько часов) - почти всегда это намного дольше, чем время сессии (то есть времени работы с веб-приложением). Однако, если работа с веб-интерфейсом действительно имеет большую длительность, то я бы рекомендовал давать возможность некоторым пользователям самостоятельно устанавливать флаг дополнительной защиты, то есть проверку IP-адреса (по-умолчанию включено), либо бы возложил эту функцию (разрешение некоторым пользователям входить без проверки IP-адреса) на администратора.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

EuGen, спасибо. Вопрос можно считать закрытым.

Я слышал, что переменную и в том числе сессию, можно подкинуть. Пример от подобной атаки выглядило примерно так: если пост или гэт совподает с названием сессии или кука, то экзит.
Не знаю, реально ли это всё. Если реально, обязательно мне надо поставить защиту.

сессию или куку?

-----
Правильный вопрос - уже половина правильного ответа!

p.s. индусы повсюду, будьте осторожны!

Да, что-то в этом духе слышал.
Мол, именно поэтому при написании капчи, в самом начале кода, сессия отвечающая за рандомную строку, в начале очищают по принцепу $_SESSION[rand] = "", а лишь потом устанавливают ей рандомное значение.

Проклятый принц
Почитайте про механизм работы сессии и все вопросы отпадут. Кроме того - право, не стоит верить всему, что услышали.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

возможно имелось ввиду "подкинуть" значение куки php_sessid для получения данных сессии

-----
Правильный вопрос - уже половина правильного ответа!

p.s. индусы повсюду, будьте осторожны!

Извиняюсь на счёт сессии: "лишнего в одно ведро положил".

И в чём заключается назначение кода в комментарии выше?

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Доказательство моей неправоты.
Там не упоминались ни какие сессии, где демонстрировались подкид переменных.

(Отредактировано автором: 24 Июля, 2013 - 15:21:03)

що це таке?

(Отредактировано автором: 24 Июля, 2013 - 15:29:56)

-----
Правильный вопрос - уже половина правильного ответа!

p.s. индусы повсюду, будьте осторожны!

Я, кстати, ни как не могу изменить переменную. То ли у меня register_globals = off, то ли у меня руки кривые...
url: www[dot]test[dot]ru/index.php?var = "Работает"