Концепция безопасности

Печать RSS
180

C
Автор
Малиновые штаны
0
Короче хочу в куки занести пароль, для автоматической авторизации. И у пользователя будет в базе время последней активности, определенной time();
так вот, я хочу хэш этого тайма перемешать с хэшем пароля. причем даже сам пользователь никак не сможет узнать время своей последней активности. Что думаете?)

Добавлено через 09:28 сек.
при обновлении страницы куки автоматом обновляются, если разумеется пользователь поставил галочку "запомнить", таким образом мы получаем универсальный общий хэш, который постоянно меняется)
В

Чатланин
0
obana WAT
Что за хрень ты выдумал.. я нифига не понял
C
Автор
Малиновые штаны
0
читай еще раз.
1372945991 - время последней активности на сайте.
12345 - пароль.
хешируем обе строки, перемешиваем и заносим в куки. потом по аналогии происходит автоматическая авторизация
Д

Пришелец
0
1. chiper, а тогда какая необходимость возиться с паролем ?
Смотри, у тебя так и так все строится на времени последнего посещения - поэтому ты хочешь использовать пароль+последнее посещение, чтобы если у кого-то совпадет последнее посещение то будут разные хэши из-за того что добавляем пароль к хэшу
А если сразу получать уникальную строку для одного пользователя, например в php будет достаточно uniqid();
1. результат записывать в куки
2. из нее получать хэш, хэш записывать в БД
3. из куки получать хэш и сравнивать с хэшем в БД

ну и понятно что алгоритм получения хэша это не обязательно md5() это может быть и sha1() или md5(sha1()) т.е. кто-то получит хэш или содержимое куки чтобы взломать ему нужно будет или знать алгоритм хэширования или знать какую-то уязвимость в скрипте чтобы иметь какой-то доступ к БД

Так же проще ?
C
Автор
Малиновые штаны
0
4. Arhitector, хм.. спасибо) плюсую
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск