| |
|
|
| | Всем привет! Я переписываю один форум, ориентированный на смартфоны (малый трафик, высокое быстродействие, уменьшение медиа контента и.т.д.), столкнулся с рядом проблем. Не хочу плодить кучу тем, т.к. вопросов будет много и зачастую они будут глуповаты, поэтому, уважая администрацию, все буду писать тут. И так:
Хочу, чтобы пользователи не вводили триста раз свои данные и форум "помнил" их. Прочел раздел в вашей книге про cookie и работу с ними. Но мне подсказали, что куки можно украсть. Метод, который был описан в книге (шифрование) для форума не подходит, т.к. по-моему, это довольно длительный процесс (отн. быстродействия остального) для форума. Поэтому я думал-думал, и решил комбинировать сессии с куками. Короче говоря, хочу сделать так (далее алгоритм):
1. Юзер регится.
2. Создается кука с некторым паролем рандомно-генерируемым, пишется значение в БД для конкретного юзера.
3. Открывается сессия.
Далее, после продолжительного времени юзер заходит на форум:
5. Есть сессия? Да - разрешаем писать. Нет? идем на 6.
6. Есть кука с именем key или нет? Есть - проверяем ее с бд, открываем сессию, перезаписываем куку на новую рандомную (и в бд тоже).
Вопрос, это поможет мне защититься от взлома? Заранее спасибо всем, кто откликнется. | |
| |
|
|
| |
|
|
| |
для: Inque
(07.04.2007 в 23:34)
| | | Помогите, пожалуйта, оч. нужна подсказка! Как по простому сделать cookie-авторизацию? Да так, чтоб безопасно было! | |
| |
|
|
| |
|
|
| |
для: Inque
(07.04.2007 в 23:34)
| | | Я правильно понял, кука будет со случайным именем, или все таки со случайным значением? | |
| |
|
|
| |
|
|
| |
для: Storm9
(08.04.2007 в 17:00)
| | | Значением. Имя одно - key | |
| |
|
|
| |
|
|
| |
для: Inque
(08.04.2007 в 17:30)
| | | Только для смартов хотите форум сделать? Просто количество телефонов, поддерживающих cookies почему-то очень мала. Можете посмотреть приблизительную статистику SEclub.org.
В данном случае лучше передавать SID по URL. | |
| |
|
|
| |
|
|
| |
для: Unkind
(08.04.2007 в 20:35)
| | | Unkind, насчет этого не волнуйся - с телефонами я работаю уже года так 3 и практически все современные телефоны, не говоря уже о смартфонах (хотя форум для них) поддерживают систему MIDP 2.0 и выше, а это значит, что на них пойдет браузер OperaMini, который поддерживает все необходимые функции для полноценного серфинга. Насчет SEClub - зря ты мне его в пример привел, я недавно читал, что его сломали. А насчет sid'а по url можно по-подробней? | |
| |
|
|
| |
|
|
| |
для: Inque
(09.04.2007 в 11:00)
| | | Подниму тему... cheops, хочу услышать мнение профессионала по поводу перезаписи кук. :) | |
| |
|
|
| |
|
|
| |
для: Inque
(14.04.2007 в 17:26)
| | | Злоумышленик если может украть cookie, то он может получить и последнюю cookie, а в то время когда законный её владель отсутствует подхватить цепочку... Лучше постараться не создавать XSS-инъекций и использовать cookie в штатном режиме. | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2007 в 01:00)
| | | Он получит последнюю куку, ну и что с того? Через некоторое время оригинальный юзер стукнется в форум, его выкинет на авториз, т.к. куки уже не совпали - злоумышленник при авторизе с украденными куки автоматически их перезаписал на рандомногенерируемые. Оригинальный юзер автоматически их перезапишет и злоумышленнику опять придется заново воровать куку. В конце концов ему надоест. Хотя если это куки админа... | |
| |
|
|
| |
|
|
| |
для: Inque
(15.04.2007 в 13:59)
| | | А злоумышленик не сможет сменить пароль за время доступа к форуму? | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2007 в 14:05)
| | | Ну, скажем, сможет, но ему надо будет ввести старый)) | |
| |
|
|
| |
|
|
| |
для: Inque
(15.04.2007 в 15:36)
| | | Есть ли какая нибудь выгода от авторизации под чужим именем на вашем форуме? Если она не большая, можно не очень сильно замарачиваться на эту тему. Существующей защиты вполне достаточно, а желающих получить доступ к чужому аккаунту без какой-то конкретной цели очень мало... | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2007 в 16:31)
| | | Хех, ну во-первых не надо каждый раз авторизица - это делается много раз чаще, чем смена пароля... Что касается злоумышленников - есть такие. Если они своровав куку у админа зайдут на форум - они смогут не то что писать от него - они смогут удалять... А это куда опасней. А люди такие есть. Они ждут когда я открою форум)) | |
| |
|
|
| |
|
|
| |
для: Inque
(15.04.2007 в 16:47)
| | | Обычно, если такая агрессивная среда, то систему администрирования выводят на отдельную страницу, с отдельным не зависимым от базы данных паролем. Мы, например, поступали именно таким образом - Web-разработчики среда достаточно агрессивная - не тем, что вандалы какие-то, просто знают больше, чем обычные посетители. Поэтому воровать пароли с форума бесполезно - они ничего не значат для управления... Вам можно поступить точно также - сделать отдельную страницу (путь к которой будете знать только вы) - защитить её и управлять форумом от туда. | |
| |
|
|
| |
|
|
| |
для: Inque
(15.04.2007 в 16:47)
| | | Немного не понятны последние два пункта в Вашей схеме авторизации пользователя. Зачем тогда сессии вообще, если Вы хотите сделать какой-то дополнительный идентификатор, который опять же дает доступ к аккаунту фактически в любое время с момента последней авторизации?
Не заморачивайтесь так c кражей cookies. Вы все-таки пишите форум для мобильных устройств и я сомневаюсь, что там найдется место для XSS. | |
| |
|
|
