Форум PHP

Здравствуйте.

Программирую систему авторизации. Хочется принять очень серьезные меры относительно ее безопасности. Самым уязвимый момент (как мне кажется) - то, что у пользователя могут украсть его куки или SID и подменить его с другой машины. Решение вроде простое - привязка к IP. Но часто у провайдера один внешний ай пи на сотни компьютеров. Получится, что подмену можно совершить из внутренней сети. Можно привязаться еще и к версии браузера - но опять же не панацея. Особенно если пользователь не хочет постоянно вводить логин и ставит функцию запомнить меня на две недели (к примеру).

Какие существуют методы защиты от подобных нападений? За что еще можно зацепиться для более безопасной идентификации пользователей?

Неужели вопрос такой глупый и скучный? Ответьте уж новичку.

>Неужели вопрос такой глупый и скучный? Ответьте уж новичку.
Вопрос не отнюдь не глупый, а сложный. Впрочем, вопрос 'а зачем новичку браться за сложный вопрос?' не глупее.

Сперва задайте себе вопрос попроще.
Кого Вы авторизуете?
Самого клиента?
Браузер клиента?
Компьютер клиента?
Его IP?
Потом рассмотрите десяток ситуаций, вроде
домашний комп (папа, мама, сын, дочь)
корпоративный комп/несколько (сотрудники в одной комнате)
беспроводной клиент GPRS-сети на OPERA-mini

>>Впрочем, вопрос 'а зачем новичку браться за сложный вопрос?
В целях обучения, и послдуещего приминения на сайте :-)

Авторизуем браузер клиента. При авторизации, после проверки логина и пароля, генерируем SID и хеш - из значений IP и версии браузера.

С GPRS и телефонными модемами ситуацию усложняется - IP часто динамический. Но можно например брать только первые 3-5 символов IP - т.к. у провайдера чаще всего во владении довольно однородный диапазон адресов.

А какие сложности с Opera mini?

если авторизуете броузер, то у Вас в распоряжении user agent и куки

>>>Впрочем, вопрос 'а зачем новичку браться за сложный вопрос?
>В целях обучения, и послдуещего приминения на сайте :-)

Не рано? Может сперва поизучать разные порталы, форумы, чаты , поглядеть, как там чего реализовано и почему?

>Авторизуем браузер клиента. При авторизации, после проверки логина и пароля, генерируем SID и хеш - из значений IP и версии браузера.

Это конечно вариант.
Но при этом какой смысл говорить, что кукисы утаскивают...

>С GPRS и телефонными модемами ситуацию усложняется - IP часто динамический. Но можно например брать только первые 3-5 символов IP - т.к. у провайдера чаще всего во владении довольно однородный диапазон адресов.

У какого провайдера?
А если я на работе одним провайдером пользуюсь, дома - другим, а в командировке - вообще чем придется?

А если у меня домашняя сеть с выбором провайдера из списка предпочтений?


>А какие сложности с Opera mini?

Клиенты GPRS часто подключаются через общий прокси так, что у них у всех одинаковый IP
А у оперы мини к тому же и user agent склонен к повторам.

А у меня еще и браузеры разные... аж пять штук.
Тут на самом деле нужно определиться, от чего защишаться.
Если так страшно, то вообще не стоит использовать автологин.
Только это же баланс на грани безопасности и удобства, подходы сугубо индивидуальные. По этому вопрос - как лучше сделать защиту, звучит примерно как сделать мир во всем мире?

Можно использовать HTTP-авторизацию, для защиты от прослушивания конкретно метод digest

Прицепи к IP и браузеру, это будет наиболее безопасно.

Конечно. И никто не зайдет. Даже владелец.

Trianon прав. Я получаю доступ к интернет через мобильник, и при кажом подключении IP разный присваивается.