Autor Zpráva
RockFire
Profil
Zdravím,
chtěl bych se zeptat, jestli nemáte vymyšlený systém, jak ošetřit bezpečtnost cookies při automatickém přihlášení. Samozřejmě nějaký hash pro každého usera, ale cookie stealeru to neodolá, čili jestli nemáte nějakou radu.

Edit: Omlouvám se, ale při editaci mi to nedovolilo delší titulek.
AM_
Profil
V cookies by nemělo být nic jiného, než nějaké session ID (ať už PHPSESSID, nebo nějakého jiného session systému). Takovouto cookie vskutku ukrást lze a nikdo tomu nezabrání.
- Pokud máš v cookies něco víc, je to špatně
- Pokud chceš opravdu dobré zabezpečení, můžeš navíc ještě hlídat IP uživatele, nějak takto:
session_start();
if (!isset($_SESSION['ip'])) $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
if ($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) die('krast se nema');
RockFire
Profil
To je ale potom 80% velkých portálů snadno hacknutelných? Když jde ukrást cookie adminovi.
AM_
Profil
- rozumný velký portál si hlídá IP (v procentech jsem to nezkoumal)
- ono je tak snadné ukrást cookie?
fuckin
Profil
Podívej se tady:

S MySQL - http://php.vrana.cz/trvale-prihlaseni.php

Bez MySQL - http://php.vrana.cz/trvale-prihlaseni-bez-ukladani-dat.php
mattyZEM
Profil
AM:
- rozumný velký portál si hlídá IP
Dynamická IP? Stejná IP na více PC? (tím nemyslím v domě)
- ono je tak snadné ukrást cookie?
Cookie stealer :X

Kdysi mi to udělal jeden člověk na webu, který jsem dělal. Nastavil si práva a různé blbinky, ale naštěstí nic neudělal, a řekl mi, že si mám cookies lépe chránit.

Vážně neexistuje nějaká unikátní proměnná, která by nešla přepsat? Vždyť takto je jakýkoliv web s trvalým přihlášením "snadno" napadnutelný, včetně DJPW.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: