новые сообщения
ответы на мои сообщения
избранное
скрытые темы
случайный топик
ёбнуть всё в новых вкладках
Форум → Программирование → PHP для идиотов → Безопасная авторизация
Безопасная авторизация
Страницы: ← Предыдущая страница →
-
Сообщения:
165
Репутация:
N
Группа:
Кто попало
-
Сообщения:
5147
Репутация:
N
Группа:
в ухо
Фев. 8, 2013, 9:52 д.п., спустя 12 часов 35 минут 50 секунд
По факту ты же на самом деле хотел чтобы тебя поддержали: да, чувак, твоя идея ох*на!
Хочешь сравнения с чем-то другим? Во первых, термины:
* Аутентификация - это когда пользователь ввел логин + пароль и мы их проверили
* Идентификация - это когда мы узнаем пользователя, который прошёл аутентификацию. (например по session id или какой то иной куке)
* Авторизация - когда идентифицированный нами пользователь проверяется на возможность выполнить какие-то действия. например, на действие "создать новую тему на форуме".
То есть то, что обычно в чатиках называют "авторизация", на самом деле означает совсем другое :D
Вот ты [ на самом деле ] спросил "безопасно ли идентифицировать пользователя по session id?"
Ответ: сплошь и рядом так делают, наверное это не ужас. Хотя известны определенные уязвимости.
Альтернативные способы идентификации:
* отдельная кука, не сессионная, с id пользователя и хешем (дважды захешированный пароль);
* кука, содержащая подписанные данные – HMAC;
* базовая или дайджест аутентификация, которые используют для идентификации особые HTTP-заголовки вместо куков.
Да, мучачо, тема обширная, а кому сейчас легко! В безопасности нет ничего надежного, а есть только "достаточно надежное для данной задачи".ιιlllιlllι унц-унц -
Сообщения:
165
Репутация:
N
Группа:
Кто попало
Фев. 11, 2013, 9:16 д.п., спустя 2 дня 23 часа 24 минуты
Спасибо, просто я че то запарился…. всю жизнь так делал, а тут думаю может и другие способы есть а я не знал)
По факту ты же на самом деле хотел чтобы тебя поддержали: да, чувак, твоя идея ох*на!
Хочешь сравнения с чем-то другим? Во первых, термины:
* Аутентификация - это когда пользователь ввел логин + пароль и мы их проверили
* Идентификация - это когда мы узнаем пользователя, который прошёл аутентификацию. (например по session id или какой то иной куке)
* Авторизация - когда идентифицированный нами пользователь проверяется на возможность выполнить какие-то действия. например, на действие "создать новую тему на форуме".
То есть то, что обычно в чатиках называют "авторизация", на самом деле означает совсем другое :D
Вот ты [ на самом деле ] спросил "безопасно ли идентифицировать пользователя по session id?"
Ответ: сплошь и рядом так делают, наверное это не ужас. Хотя известны определенные уязвимости.
Альтернативные способы идентификации:
* отдельная кука, не сессионная, с id пользователя и хешем (дважды захешированный пароль);
* кука, содержащая подписанные данные – HMAC;
* базовая или дайджест аутентификация, которые используют для идентификации особые HTTP-заголовки вместо куков.
Да, мучачо, тема обширная, а кому сейчас легко! В безопасности нет ничего надежного, а есть только "достаточно надежное для данной задачи". -
Сообщения:
26646
Репутация:
N
Группа:
в ухо
Фев. 11, 2013, 10:48 д.п., спустя 1 час 31 минуту 8 секунд
способы другие то есть :-)
Спасибо, просто я че то запарился…. всю жизнь так делал, а тут думаю может и другие способы есть а я не знал)
По факту ты же на самом деле хотел чтобы тебя поддержали: да, чувак, твоя идея ох*на!
Хочешь сравнения с чем-то другим? Во первых, термины:
* Аутентификация - это когда пользователь ввел логин + пароль и мы их проверили
* Идентификация - это когда мы узнаем пользователя, который прошёл аутентификацию. (например по session id или какой то иной куке)
* Авторизация - когда идентифицированный нами пользователь проверяется на возможность выполнить какие-то действия. например, на действие "создать новую тему на форуме".
То есть то, что обычно в чатиках называют "авторизация", на самом деле означает совсем другое :D
Вот ты [ на самом деле ] спросил "безопасно ли идентифицировать пользователя по session id?"
Ответ: сплошь и рядом так делают, наверное это не ужас. Хотя известны определенные уязвимости.
Альтернативные способы идентификации:
* отдельная кука, не сессионная, с id пользователя и хешем (дважды захешированный пароль);
* кука, содержащая подписанные данные – HMAC;
* базовая или дайджест аутентификация, которые используют для идентификации особые HTTP-заголовки вместо куков.
Да, мучачо, тема обширная, а кому сейчас легко! В безопасности нет ничего надежного, а есть только "достаточно надежное для данной задачи".Сапожник без сапог -
Сообщения:
5147
Репутация:
N
Группа:
в ухо
Фев. 11, 2013, 10:53 д.п., спустя 5 минут 5 секунд
дуд, он ждал "поглаживания", а не подсказок. моя кучабуков скорее для гугля )))ιιlllιlllι унц-унц
-
Сообщения:
26646
Репутация:
N
Группа:
в ухо
Фев. 11, 2013, 11:41 д.п., спустя 47 минут 52 секунды
ааааа затупил. да ты охуенене мужик, так продолжай!
дуд, он ждал "поглаживания", а не подсказок. моя кучабуков скорее для гугля )))Сапожник без сапог -
Сообщения:
5147
Репутация:
N
Группа:
в ухо
-
Сообщения:
3244
Репутация:
N
Группа:
Джедаи
Фев. 19, 2013, 7:10 п.п., спустя 8 дней 7 часов 15 минут
чтобы каждый раз не подключаться к бд и не проверять по кукам правилность md5(пароля) делаем просто $_SESSION['auth'] = 1;
нельзя. потому что в случае мультилогина если одна из сессий сменит пароль, то другие сессии должны прерваться, а при твоей схеме они продолжатсяне всё полезно, что в swap полезло -
Сообщения:
3244
Репутация:
N
Группа:
Джедаи
Фев. 19, 2013, 7:15 п.п., спустя 5 минут 20 секунд
так что либо каждый раз читать данные пользователя из базы, либо по смене пароля дропать другие сессии этого пользователя, т.е. модифицировать механизм сессий. впрочем, с учётом того, что по дефолту они хранятся в /tmp это так или иначе делатьне всё полезно, что в swap полезло
Страницы: ← Предыдущая страница →
Пожалуйста, авторизуйтесь, чтобы написать комментарий!