Autor Zpráva
KareL2
Profil *
Ahoj,
nejak si nejsem jisty jak na to.
Ted bych v jednom projektu potreboval udelat trvale prihlaseni ale take bezpecne.
Zatim jsem delal prihlaseni uzivatelu pres SESSION ale existuje neco bezpecnejsiho?predpokladam ze to seznamacke trvale prihlaseni je delane jen pres cookies ale to neni zrovna ono..mylim se?Ale mam mail u gmailu a tam to maj udelane skvele prihlasim se jen jednou a pak uz nikdy vic a navic to vypada bezpecne :D tedy chcou porad nejake certifikaty ale v tom se nevyznam.
Nevite jak nejlepe na to?kdyz to bude slozitejsi nevadi rad si s tim pohraju jen bych potreboval vedet smer
koudi
Profil
Přes ty session to rozhodně neuděláš. Tohle jde jedině přes cookies, musíš si do nich uložit něco, podle čeho poznáš koho to má přihlásit. Rozhodně nedoporučuju jméno/heslo :)
KareL2
Profil *
ale jak?nenapada me tedy nic dostatecne bezpecneho :))
Neni tu nekdo kdo vi jak to ma gmail??diky mnohokrate
koudi
Profil
Při zpracování první stránky zjistíš, jestli tam je cookies. Když ne, tak zobrazíš login form. Když jo, tak ověříš jestli ta cookies je platná. Takže v ní musíš mit uložený třeba id uživatele (abys věděl koho přihlásit) a něco na ověření. Třeba hash z hesla+jména+data posledního přihlášení.
Jinak trvale přihlášení samo o sobě je poměrně nebezpečná věc.
DJ Miky
Profil
KareL2
pres SESSION ale existuje neco bezpecnejsiho?
a v čem se Vám zdají sessions nebezpečné?

a ještě rada: pokud to budete dělat přes ty cookies (nic jiného Vám asi nezbude...), tak při každé návštěvě uživatele ten kontrolní hash změňte (vygenerujte nový)...
KareL2
Profil *
session jsou ok( ale clovek je hamoun, porad chce neco lepsiho:) ),
neco do tech cookies vymyslim ale zda se mi to docela drsne nato ze kdyz mi nekdo okopiruje cookies nebo jinak bude mit trvaly pristup nejak jsem doufal ze to ma seznam a gmail lepe vyreseno.
Dekuji
mila
Profil
- Bezpečné to nebude nikdy. Pokud je člověk trvale přihlášen, může k jeho počítači kdokoli přijít, a cokoli udělat (už z principu)
- Dokud nepoužíváš šifrované spojení, tak to také nemůže být bezpečné. Kdokoli po cestě může poslouchat. Pravda jde o drobnost, v porovnání s předchozím.
- V session nemůže být trvalé přihlášení. Prostě proto, že po zavření prohlížeče nejsou

Já bych do cookie uložil nějaký dlouhý náhodný řetězec. Ten samý pak do databáze, s informací, kdo je přihlášen, a do kdy přihlášení platí - to by byly dva časy, jeden lze prodloužit opětovným použitím služby (např týden), druhý ne (např. měsíc).
Pokud se uživatel připojí, tak zkontroluji, zda přihlášení platí (odpovídá řetězec + nevypršelo). Pak vygeneruji nový řetězec, přepíšu cookie a řádek databáze. Prodloužím platnost (tu týdení).

Tzn. pokud se přihlásím někde v kavárně, zapomenu se odhlásit, tak pak přihlášením doma zruším přihlášením v kavárně (protože bude nový řetězec). I pokud bych se doma nepřihlásil, tak po týdnu samo vyprší (protože ho nikdo snad nepoužije). Pokud se během týdne najde někdo, kdo ho bude chtít zneužívat a já ho nezruším přihlášením jinde, tak může max. měsíc.

Dále bych tam při loginu dal jasně zřetelnou možnost, že jsem host, a že se nechci přihlásit na trvalo (abych nezůstal přihlášen a abych si nezrušil přihlášení doma)
Příhlášení během jedné session by asi fungovalo nezávisle, aby se zbytečně při každém požadavku neměnil kontrolní řetězec. Nevím jak si třeba dvě okna IE předávají cookies, ale přinejmenším to umožní pracovat současně ve dvou různých prohlížečích.
Leo
Profil
Trvale prihlaseni je podle me blbost uz z podstaty veci. Leo
KareL2
Profil *
v zasade souhlasim, s tou kavarnou me to vubec nenapadlo(asi tim ze na net chodim jen z domu)
mila
Profil
Trvale prihlaseni je podle me blbost uz z podstaty veci. Leo
Pokud se nepletu, tak trvalé přihlášení funguje třeba v této diskusi. A přijde mi celkem fajn.
KareL2
Profil *
Trvale prihlaseni je pohodlne, a bori bariery kdyz se vymysli dobre nemusis se vsude prihlasovat atd.Me prijde fajn a kdyz se nelibi tak ho nepouziji :)
Toto téma je uzamčeno. Odpověď nelze zaslat.