| Autor | Zpráva | ||
|---|---|---|---|
| Jarko Profil * |
#1 · Zasláno: 8. 4. 2009, 15:28:35
Ahoj, muzu nejak vygenerovat v php podpis, abych mel jistotu ze se jedna o daneho usera?
dekuji |
||
| nightfish Profil |
#2 · Zasláno: 8. 4. 2009, 15:33:30
PHP má openssl rozšíření
nicméně možná bude lepší napsat, k čemu to potřebuješ... |
||
| Jarko Profil * |
nightfish:
Potrebuji nacitat u uzivatele i kdyz nebude prohlaseny nejake udaje z cookies a kdyby se je pokusi dat nekomu jinemu tak to poznam podle toho podpisu dekuji |
||
| nightfish Profil |
#4 · Zasláno: 8. 4. 2009, 16:08:34
aha
takže ti stačí uložit do cookie hash, který si taktéž uložíš do databáze k danému uživateli a pak zkontroluješ, jestli uživatel má v cookie hash stejný jako v databázi |
||
| Jarko Profil * |
nightfish:
hm, to e, musim to udelat bez mysql.. ovsem pravdu mas ze musim nejak overit ten hash :( |
||
| Jarko Profil * |
#6 · Zasláno: 10. 4. 2009, 21:13:40
Tak nikoho nic nenapada?
|
||
| AM_ Profil |
#7 · Zasláno: 10. 4. 2009, 21:23:57
„hm, to e, musim to udelat bez mysql.. “
Tak to uložíš jinam, kde máš uložené uživatele. |
||
| Jarko Profil * |
#8 · Zasláno: 10. 4. 2009, 21:50:26
Nemam ulozene uzivatele, musi to jit jeste driv nez se zaregistruji..
|
||
| AM_ Profil |
#9 · Zasláno: 10. 4. 2009, 22:25:33
Tak pokud neuložíš nic nikam, tak ti zřejmě nic nebude fungovat. Jak se zaregistrují, když se to nikam neuloží?
|
||
| ninja Profil |
#10 · Zasláno: 10. 4. 2009, 23:11:42
Jarko: proc nemuzes ukladat do databaze? A co SQLite nebo proste normlani soubor?
|
||
| Jarko Profil * |
#11 · Zasláno: 11. 4. 2009, 00:40:12
„Tak pokud neuložíš nic nikam, tak ti zřejmě nic nebude fungovat. Jak se zaregistrují, když se to nikam neuloží?“
Zaregistruji se.. to se ulozi do mysql, ale nebudu prece kazdy reload stranky u vsech uzivatelu ukladat do mysql, to by se z toho asi uvarila..„ Jarko: proc nemuzes ukladat do databaze? A co SQLite nebo proste normlani soubor?“ musim to poresit jednoduseji bez kontroly nejakeho souboru nebo mysql |
||
| AM_ Profil |
#12 · Zasláno: 11. 4. 2009, 00:46:45
Tak napiš, až se zbavíš přesvědčení, že to musíš udělat bez souborů a databáze. Kouzlit tu bohužel neumíme.
|
||
| Jarko Profil * |
#13 · Zasláno: 11. 4. 2009, 01:07:25
„Tak napiš, až se zbavíš přesvědčení, že to musíš udělat bez souborů a databáze. Kouzlit tu bohužel neumíme.“
nejde o kouzleni, jde o to, ulozit do cookies neco, treba dva udaje.. jeden udaj bude moje hodnota a druhy udaj neco co bude kontrolovat podle neceho jestli to sedi a patri to tomu uzivatelu.. preta ip a pripojeni a cas a prevect to na hash a tak zjistit jestli je to ten stejny user, to by neslo? |
||
| Mastodont Profil |
#14 · Zasláno: 11. 4. 2009, 07:16:23
neco co bude kontrolovat podle neceho
No a odkud chceš brát to "neceho"? ip a pripojeni a cas a prevect to na hash Čas se ale pořád mění, že jo, takže to by hash byl pokaždé jiný. |
||
| AM_ Profil |
#15 · Zasláno: 11. 4. 2009, 11:16:47
„preta ip a pripojeni a cas a prevect to na hash a tak zjistit jestli je to ten stejny user, to by neslo?“
Jo, tak to už by šlo, ale nedá se tomu říkat dobrá ochrana. Dobrá ochrana je řekněme při každém přihlášení vygenerovat náhodný řetězec, do DB uložit jeho hash (nevím, kde bereš přesvědčení, že to je výkonově neúnosné) a tohle ověřovat. |
||
| ninja Profil |
#16 · Zasláno: 11. 4. 2009, 12:07:24
Jarko: Bud se spolehnes na prvotni prihlaseni a dale budes duverovat cookies (s moznosti dalsi kontroly dle IP, Useg-agenta a dalsich nesmyslu), nebo musis pred kazdou strankou vygenerovat a kontrolovat nejaky menici se hash.
|
||
| Jarko Profil * |
#17 · Zasláno: 11. 4. 2009, 12:50:13
„Čas se ale pořád mění, že jo, takže to by hash byl pokaždé jiný.“
Fakt neexistuje nic co by mel kazdy user jine a dalo se to detekovat? |
||
| AM_ Profil |
#18 · Zasláno: 11. 4. 2009, 13:27:59
zřejmě jsi do otázky zapomněl připsat "... a nedalo by se to podvrhnout". Ale vyjma cookies nerozeznáš ani 2 uživatele se stejnou verzí a konfigurací browseru na stejné ip.
|
||
|
Časová prodleva: 3 dny
|
|||
| Jarko Profil * |
#19 · Zasláno: 14. 4. 2009, 14:57:49
„zřejmě jsi do otázky zapomněl připsat "... a nedalo by se to podvrhnout". Ale vyjma cookies nerozeznáš ani 2 uživatele se stejnou verzí a konfigurací browseru na stejné ip.“
tak jsem to namyslel takhle.. ulozim do cookie promennou $sh a $hodnota $hodnota = $_COOKIE['hodnota']+1; // do prom. hodnota nacte cookie hodnota a pricte k ni 1 $sh = $sh1('65465465458798798'.'$hodnota') // do prom. sh zahashuje tajne cislo + prom. hodnota set cookie $sh1 ............. set cookie $hodnota ............. a podvrhnout by to jit nemelo, kdyz neznas tajne cislo, ne? |
||
| ninja Profil |
#20 · Zasláno: 14. 4. 2009, 15:45:10
Jarko: nemate potom jednodussi pouzit pouse session? Bezpecnost stejna (hash string), prace a overovani snazsi.
|
||
| Jarko Profil * |
#21 · Zasláno: 14. 4. 2009, 16:12:08
„Jarko: nemate potom jednodussi pouzit pouse session? Bezpecnost stejna (hash string), prace a overovani snazsi.“
To prave nemuzu, potrebuji zachovat tu hodnotu i kdyz zavre a opetovne otevre prohlizec.. |
||
| ninja Profil |
#22 · Zasláno: 14. 4. 2009, 16:43:33
Jarko: vita jak funguje session? Je to bud parametr v URL, nebo cookie. Preferenci, stejne jako dobu platnosti muzete nastavit.
Klidne si ale generujte nejaky kontrolni hash primo do cookies, rozdil je pouze v poctu radek kodu. |
||
| Jarko Profil * |
#23 · Zasláno: 14. 4. 2009, 19:21:05
„Jarko: vita jak funguje session? Je to bud parametr v URL, nebo cookie. Preferenci, stejne jako dobu platnosti muzete nastavit.“
Nechapu co tim chtel basnik rici.. „Klidne si ale generujte nejaky kontrolni hash primo do cookies, rozdil je pouze v poctu radek kodu.“ Nechapu co tim chtel basnik rici.. Muzes vest normalni diskuzi bez hadanek? Dekuji |
||
| Snake.AAS Profil * |
#24 · Zasláno: 15. 4. 2009, 20:37:42
Jarko:
prvním příspěvkem chtěl básník říci, že session lze nastavit aby platila i po zavření prohlížeče. druhým příspěvkem chtěl básník říci, že se session se bude pracovat podstatně lépe, ale ať si to klidně uděláte pomocí cookies, akorat se víc upíšete... |
||
| Jarko Profil * |
#25 · Zasláno: 15. 4. 2009, 21:59:53
„Jarko:“
„prvním příspěvkem chtěl básník říci, že session lze nastavit aby platila i po zavření prohlížeče.“ Tak to mohl napsat trochu lip srozumitelneji.. No jo.. ale to opravdu nevim a ani jsem to nikdy neslysel, urcite je v tom nejake to "ale" jinak by cookie byli k nicemu, ne? „druhým příspěvkem chtěl básník říci, že se session se bude pracovat podstatně lépe, ale ať si to klidně uděláte pomocí cookies, akorat se víc upíšete...“ pokud to je tak, tak ma pravdu.. ted uz chapu co tim autor myslel.. diky za objasneni ;) |
||
| Jarko Profil * |
#26 · Zasláno: 15. 4. 2009, 22:03:55
ale stejne tomu moc neverim..
|
||
| imploder Profil |
#27 · Zasláno: 15. 4. 2009, 22:11:38
Jarko
když se cookies nastaví životnost na 0, tak mizí se zavřením prohlížeče |
||
| Jarko Profil * |
#28 · Zasláno: 15. 4. 2009, 22:17:22
„Jarko“
„když se cookies nastaví životnost na 0, tak mizí se zavřením prohlížeče“ myslis jako v php.ini? jo? A k cemu to je ale dobry kdyz mame cookie? |
||
| ninja Profil |
#29 · Zasláno: 15. 4. 2009, 23:36:03 · Upravil/a: ninja
Jarko: ono je tezke se bavit kdyz nemate zakladni znalosti. Session se sklada z dvou casti. Prvne je to nejaky hash, ktery identifikuje jednotlive uzivatele a ukladase bud jako klasicka cookie, nebo primo do URL v podobe GET parametru. Druhak je to serverova cast, kde se jednotlive promene ulozene na serveru asociuji s konkretnim hashem uzivatele.
Tedy cokoliv jde udelat pomoci cookie, jde i pomoci session. Session je de facto jen nadstavba, ktera obchazi nektere bezpecnostni rizika a neprijemnosti cookies (omezena velikost, viditelne hodnoty, atd.). Opravdu neskodi precist si zaklady. Snake.AAS: dekuji ti nacelniku, ze ses me zastal :). |
||
| Jarko Profil * |
#30 · Zasláno: 16. 4. 2009, 19:20:06
Čus, bus
„Jarko: ono je tezke se bavit kdyz nemate zakladni znalosti. Session se sklada z dvou casti. Prvne je to nejaky hash, ktery identifikuje jednotlive uzivatele a ukladase bud jako klasicka cookie, nebo primo do URL v podobe GET parametru. Druhak je to serverova cast, kde se jednotlive promene ulozene na serveru asociuji s konkretnim hashem uzivatele.“ Ano, ono je to fakt těžký když nejsou základní znalosti, jenže narozdíl od tebe to Jarko ví, proto se tady ptá. Narozdíl od tebe y je taky nemáš ale chytrej jsi jako by jsi je měl! Měl by si se nad sebou zamyslet pane rozumbrado! „Tedy cokoliv jde udelat pomoci cookie, jde i pomoci session. Session je de facto jen nadstavba, ktera obchazi nektere bezpecnostni rizika a neprijemnosti cookies (omezena velikost, viditelne hodnoty, atd.).“ „Snake.AAS: dekuji ti nacelniku, ze ses me zastal :).“ On se tě nezastaval, on to napsal pro pochopení místo tebe, jelikož ty jsi to napsal tak jak jsi to napsal |
||
|
Téma pokračuje na další straně.
|
|||
0