| Autor | Zpráva | ||
|---|---|---|---|
| Budulinek Profil |
#1 · Zasláno: 7. 8. 2009, 15:25:41
Napadla mě myšlenka, jestli by nebylo v rámci "větší" bezpečnosti dobré udělat možnost generování náhodně dlouhého (třeba interval 32 - 64 znaků - malá a velká písmena plus číslice) klíče sloužící pro opětovné přihlášení.
Funguje to klasicky - uživatel se přihlásí, pokud chce být přihlášen i po zavření prohlížeče vygeneruje se mu onen login key, který se uloží do DB a zároveň k němu do sušenky. Má to smysl, nebo už je to zbytečné? :) |
||
| AM_ Profil |
#2 · Zasláno: 7. 8. 2009, 15:29:28
Imho je to zbytečné, pokud už se někomu podaří ukrást session cookie, ukradne i tohle (je to taky cookie). Stačí prodloužit platnost session cookie (+ samozřejmě samotné session), která je myslím výchoze nastavená na 0, takže se maže se zavřením prohlížeče
|
||
| Budulinek Profil |
#3 · Zasláno: 7. 8. 2009, 15:33:18
Já si to myslel, jen mě to tak napadlo
|
||
| __host__ Profil * |
#4 · Zasláno: 7. 8. 2009, 18:58:56
Budulinek
Tohle se spis vyuziva jako kontrola pri vstupu treba do administrace. viz. reseni SMF. |
||
|
Časová prodleva: 15 let
|
|||
0