# Koenig (01.09.2013 / 16:21)Странно у меня все работает.
Энштеин, ссылку дай для теста, старая не работает
Безопасная авторизация
1.56K
Энштеин
1 сен 2013 г., 16:35
Koenig
1 сен 2013 г., 19:07
(\/)____o_O____(\/)
Энштеин, не работало, сейчас норм
Энштеин
3 сен 2013 г., 10:16
Итак, пока появилось время решил усовершенствовать системку ))
Ребят, какое расширение посоветуете сделать для файла ключей, просто формат key и txt открывается как страничкак на некоторых мобилках.
Ребят, какое расширение посоветуете сделать для файла ключей, просто формат key и txt открывается как страничкак на некоторых мобилках.
Энштеин
3 сен 2013 г., 10:36
И еще такой вопрос, если сделать доп защиту с помощью ключа, и во время авторизации ключь сохранять в сессии то безопасно ли это?
Koenig
3 сен 2013 г., 11:20
(\/)____o_O____(\/)
Энштеин, сам ключ узнать из сессии не получиться даже если сессию угнать, если ключ больше нигде не светится, но авторизацию можно сниффером каким нибудь выкрасть, хотя может и ошибаюсь
Энштеин
3 сен 2013 г., 11:52
# Koenig (03.09.2013 / 11:20)Так сессия же хранится на сервере, и если ей например давать короткий срок жизни то думаю такой вариант должен прокатить.
Энштеин, сам ключ узнать из сессии не получиться даже если сессию угнать, если ключ больше нигде не светится, но авторизацию можно сниффером каким нибудь выкрасть, хотя может и ошибаюсь
Mi7teR
3 сен 2013 г., 18:41
ssl, токен в адресную строку, фильтрация всего что можно от xss. Срок жизни токена - 5 минут с момента последнего посещения сайта, авторизация через картинку/файл(да что угодно), никаких печенек и сессий =)
Можно юзать обычные логин\пасс + email для восстановления пароля - в базе записывать только хэши:
При восстановлении пароля ищем совпадение хэша email в базе - если есть, то генерируем пароль, заносим в базу к нужной записи его хэш с солью, а сам пароль без соли высылать на введенную почту. 2 поля в базе можно юзать для токена и последнего времени посещения, срок после которого токен недействителен можно настроить самому. Токен можно генерировать из хэша логина, пароля, соли и времени логина на сайте. По ип адресу и юзерагенту можно идентифицировать устройство пользователя, и если токен используется на другом устройстве - не давать доступа
Имхо, самый простой способ - даже если сольют базу, вытащат токен у юзверя - воспользоваться этим будет немного затруднительно.
Да и администрация(при условии что не будет писать логи с введенными данными) не сможет узнать данных пользователя.
Можно юзать обычные логин\пасс + email для восстановления пароля - в базе записывать только хэши:
$login = md5($salt.$inputlogin);
$pw = md5($salt.$inputpw);
$email = md5($salt.$inputemail);При восстановлении пароля ищем совпадение хэша email в базе - если есть, то генерируем пароль, заносим в базу к нужной записи его хэш с солью, а сам пароль без соли высылать на введенную почту. 2 поля в базе можно юзать для токена и последнего времени посещения, срок после которого токен недействителен можно настроить самому. Токен можно генерировать из хэша логина, пароля, соли и времени логина на сайте. По ип адресу и юзерагенту можно идентифицировать устройство пользователя, и если токен используется на другом устройстве - не давать доступа
Имхо, самый простой способ - даже если сольют базу, вытащат токен у юзверя - воспользоваться этим будет немного затруднительно.
Да и администрация(при условии что не будет писать логи с введенными данными) не сможет узнать данных пользователя.
Энштеин
3 сен 2013 г., 19:09
# Mi7teR (03.09.2013 / 18:41)ssl геморно подключать(сертификаты нужны)
ssl, токен в адресную строку, фильтрация всего что можно от xss. Срок жизни токена - 5 минут с момента последнего посещения сайта, авторизация через картинку/файл(да что угодно), никаких печенек и сес
Токен в адрес, имхо глупость, в ту же куку можно воткнуть,
Логин пароль не нужно.
Всего: 68
© 2024, JohnCMS