Опасность Cookies в HTTP

780

Dmitry Kokorin 23.02.2015 / 17:53
Оранжевые штаны

20. Tegos, хз, Но интересная, кое-что взял на заметку
Думаю как можно максимально обезопасить сайт
Перебираю все попадающиеся варианты, на многие плевался как верблюд smile

Dmitry Kokorin 23.02.2015 / 18:24
Оранжевые штаны

Варианты:
ИП - отпадает сразу, думаю обьяснения излишни
ЮА - как вариант! Пример

<?php
$dataCode = md5($uid);
$dataHash = md5($ua.$uid.$upass);
setcookie("code",$dataCode,time()+10000);
setcookie("name",$dataHash,time()+10000);
//auth
$res = query("SELECT `id`,`pass` FROM `user` WHERE `code`='".$dataCode."' LIMIT 1");
If(!$res){
    //stop
}else{
    $data = $res->fetch_object();
if($_COOKIE['name'] == md5($ua.$data->id.$data->pass){
    //session write
}

Чо-то типа того..
Соль и т.п по аналогии. .
Думаю что еще добавить /заменить

KpuTuK 23.02.2015 / 18:44
Пацак

22. DimmoS, можно чтото типа токенов сделать временных

<?php
$token = explode(':', $data->user_token);
if (isset($_COOKIE['user_token']) && isset($_COOKIE['user_token_time'])) {
    if ($token[0] === $_COOKIE['user_token']) {
        if (time() < $_COOKIE['user_token_time']) {
            // Все гуд
        } elseif (time() === $_COOKIE['user_token_time']) {
            // создаем новый токен и пишем его в куки и базу
        }else {
            // Уведомление о том что токен устарел
        }
    } else {
        // Уведомление о том что токен не действителен
    }
}

можно сделать еще вечный токен и менять его поле каждой авторизации и если временный токен устарел то смотреть по вечному

хотя может и бред

Изменил: KpuTuK (23.02.2015 / 18:53)

Dmitry Kokorin 23.02.2015 / 19:00
Оранжевые штаны

23. KpuTuK, еще думаю как вариант хранить в базе некий "секретный слоВо" при авторизации по кукам спрашивать это слово и если гут то писать в сессию что все Ок если нет то просим авторизации
Это как ключ от дома тебя как бы узнают дома но без секрета не пускают, таким образом даже если сп**ть куки то никак не авторизируешься пока не ведешь этот секрет

shilo 23.02.2015 / 19:01
Чатланин

23. KpuTuK, полный... два токена вместо одного, с какой целью? зачем нужен временный, если есть постоянный?
Почему-бы не использовать ttl кук, вместо вот этого велосипеда с сравнением времени?

Dmitry Kokorin 23.02.2015 / 19:05
Оранжевые штаны

25. shilo, я думаю мой варик в п.24 лучше подойдет чем токены

Tegos 23.02.2015 / 23:06
Пацак

кому нужна такая безопасность? smile

Dmitry Kokorin 23.02.2015 / 23:38
Оранжевые штаны

27. Tegos, мне

Tegos 24.02.2015 / 01:19
Пацак

28. DimmoS, ты веришь что у тебя кто-то будет куки воровать?

Dmitry Kokorin 24.02.2015 / 03:05
Оранжевые штаны

29. Tegos, всякое бывает, никто не застрахован. .

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск