Autor | Zpráva | ||
---|---|---|---|
RockFire Profil |
#1 · Zasláno: 30. 4. 2010, 16:09:05 · Upravil/a: RockFire
Zdravím,
chtěl bych se zeptat, jestli nemáte vymyšlený systém, jak ošetřit bezpečtnost cookies při automatickém přihlášení. Samozřejmě nějaký hash pro každého usera, ale cookie stealeru to neodolá, čili jestli nemáte nějakou radu. Edit: Omlouvám se, ale při editaci mi to nedovolilo delší titulek. |
||
AM_ Profil |
#2 · Zasláno: 30. 4. 2010, 16:37:40 · Upravil/a: AM_
V cookies by nemělo být nic jiného, než nějaké session ID (ať už PHPSESSID, nebo nějakého jiného session systému). Takovouto cookie vskutku ukrást lze a nikdo tomu nezabrání.
- Pokud máš v cookies něco víc, je to špatně - Pokud chceš opravdu dobré zabezpečení, můžeš navíc ještě hlídat IP uživatele, nějak takto: session_start(); if (!isset($_SESSION['ip'])) $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; if ($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) die('krast se nema'); |
||
RockFire Profil |
#3 · Zasláno: 1. 5. 2010, 10:42:38
To je ale potom 80% velkých portálů snadno hacknutelných? Když jde ukrást cookie adminovi.
|
||
AM_ Profil |
#4 · Zasláno: 1. 5. 2010, 11:21:32
- rozumný velký portál si hlídá IP (v procentech jsem to nezkoumal)
- ono je tak snadné ukrást cookie? |
||
fuckin Profil |
#5 · Zasláno: 1. 5. 2010, 12:23:31
Podívej se tady:
S MySQL - http://php.vrana.cz/trvale-prihlaseni.php Bez MySQL - http://php.vrana.cz/trvale-prihlaseni-bez-ukladani-dat.php |
||
mattyZEM Profil |
#6 · Zasláno: 2. 5. 2010, 02:30:32 · Upravil/a: mattyZEM
AM:
> - rozumný velký portál si hlídá IP Dynamická IP? Stejná IP na více PC? (tím nemyslím v domě) > - ono je tak snadné ukrást cookie? Cookie stealer :X Kdysi mi to udělal jeden člověk na webu, který jsem dělal. Nastavil si práva a různé blbinky, ale naštěstí nic neudělal, a řekl mi, že si mám cookies lépe chránit. Vážně neexistuje nějaká unikátní proměnná, která by nešla přepsat? Vždyť takto je jakýkoliv web s trvalým přihlášením "snadno" napadnutelný, včetně DJPW. |
||
Časová prodleva: 14 let
|
0