| |
|
|
| | Подкиньте, пож-ста, пару ссылок где можно почитать про методы и алгоритмы реализации безопасной системы аутентификации на php? | |
| |
|
|
| |
|
|
| |
для: Niko2
(11.12.2006 в 23:54)
| | | Ну если вы хотите много-много ссылок, то надо ждать ХЕОПСА )))) Он очень любит давать штук 5 ссылок ))) | |
| |
|
|
| |
|
|
| |
для: DEM
(12.12.2006 в 00:01)
| | | Да он, вроде, в онлайне был :)
На самом почемуто не получается найты материал по теме :(
Хочется увидеть хорошую статью, что б было написано «принято делать так и так, то сё лучше/хуже, хранить в каках надо то да сё, в базе – пятое да десятое, шифровать так да эдак» …. | |
| |
|
|
| |
|
|
| |
для: Niko2
(12.12.2006 в 00:06)
| | | Интересно у него наверно своя база есть отдельная :), а там вопросы на 5 лет вперёд | |
| |
|
|
| |
|
|
| |
для: @ndry
(12.12.2006 в 00:53)
| | | ХЕОПС же писал, что у него есть полная БД всего форума и плюс такая же база, как и в РНР НАРОДНЫЕ СОВЕТЫ.... | |
| |
|
|
|
| |
|
|
| |
для: Саня
(12.12.2006 в 00:47)
| | | где 5? :) | |
| |
|
|
| |
|
|
| |
для: @ndry
(12.12.2006 в 00:53)
| | | Ну это ж не хеопс вот и 4. | |
| |
|
|
| |
|
|
| |
для: @ndry
(12.12.2006 в 00:53)
| | | А вот и 5)))) Как заказывал) | |
| |
|
|
|
| |
|
|
| |
для: cheops
(12.12.2006 в 15:33)
| | | Здравствуйте.
Большое спасибо за советы, но как не помогло. :((
Точнее – я не нашел ответы на интересующие меня вопросы.
А вопросы следующие:
Аутентификация «пронизывает» весь сайт (защита отдельных директорий неактуальна), контент генерируется для каждого свой (возле своих записей появляется кнопка «редактирвать» и проч)
Допустим – написали форму авторизации, приняли, проверили по базе и проч, запустили сеанс
- Что писать в переменные сеанса? valid_userID ?? может ли злоумышленник переназначить для себя переменную сеанса? Есть ли смысл шифровать valid_userID? Или использовать какие нить случайные здоровенные строки/цифры???
Также мне надо чтоб сайт запоминал пользователя на некоторое время, что для этого?
- Что писать в куку? Пару user / password ? Безопасно ли, если, например, мой сайт – mysite.ru а умник обманом заманит меня на hacker-mysite.ru и считает мои куки?
- Как хранить куки - шифроваль аль нет? могут ли стырить?
- Видел на этом сайте сценарий, шифрующий и дешифрующий куки. Ключ для шифрования прописан просто как переменная. Безопасно ли? Могут ли стырить?
И еще:
- Как в таком случае отслеживать «юзеров–онлайн»
- Имеет ли слысл просить, например, повторить пароль при выполнении ответственных задач (удаление, редактирование и проч.)
PS Присоединяюсь к коллеге и хочу выразить крайний респект всем организаторам форума, и Хеопсу лично. Про «новолинуксоидов» - \10 баллов )) | |
| |
|
|
| |
|
|
| |
для: Niko2
(13.12.2006 в 01:10)
| | | Чтобы "пронизывать" весь сайт придётся использовать сессии - это самый удобный вариант, например, при аутентификации помещаете в сессию имя пользователя и для удобства его идентификатор
<?php
session_start();
$_SESSION['name'] = "имя_пользователя";
$_SESSION['id'] = 74;
?>
|
А затем смотрите при помощи функции Isset() - установлен идентификатор или нет
<?php
if(isset($_SESSION['id']))
{
echo "<a href=edit.php?id=".$_SESSION['id'].">редактировать</a>";
}
?>
|
Разумеется перед тем как разрешить файлу edit.php что-то редактировать, нужно проверить установлен ли $_SESSION['id'].
>Также мне надо чтоб сайт запоминал пользователя на некоторое время, что для этого?
После закрытия браузера? Тогда придётся хранить имя пользователя и его пароль в cookie, однако, если сессия не установлена, необходимо проверять значения из cookie на валидность - если пара логин/пароль верны - заносим их в сессию, если нет - ничего не делаем (это предотвратит подделку cookie - пока правильный пароль не будет известен - подделка ни к чему не приведёт).
>- Что писать в куку? Пару user / password ? Безопасно ли, если, например, мой сайт – mysite.ru а
>умник обманом заманит меня на hacker-mysite.ru и считает мои куки?
>- Как хранить куки - шифроваль аль нет? могут ли стырить?
Могут... как выход можно хранить только имя и подставлять его в форму авторизации, требуя, чтобы пользователь после закрытия браузера вводил каждый раз пароль по новой. Так например, на ozon.ru сделано.
>- Видел на этом сайте сценарий, шифрующий и дешифрующий куки. Ключ для шифрования
>прописан просто как переменная. Безопасно ли? Могут ли стырить?
Это задержит злоумышленика - придётся подбирать пароль по хэшу, но не на долго.
>- Как в таком случае отслеживать «юзеров–онлайн»
Для этого обычно используют отдельную таблицу, пример вы сможете найти по ссылке http://www.softtime.ru/scripts/online.php.
>- Имеет ли слысл просить, например, повторить пароль при выполнении ответственных задач
>(удаление, редактирование и проч.)
Нет - это не удобно, но страницу-подтверждение выводить стоит. | |
| |
|
|
| |
|
|
| |
для: Niko2
(11.12.2006 в 23:54)
| | | на самом деле я тоже совсем недавно искал грамотную статью, где описано как реализовать, как лучше делать, где могут возникнуть дыры, безопасность и прочее. Дабы учиться на ошибках чужих, а не своих :) Но так ничего стоящего и не нашёл. Так что смотри темы этого форума, так же ищи темы на безопасность создаваем приложений и собирай все по кирпичикам.. | |
| |
|
|
|
