Концепция безопасности

1. chiper (04.07.2013 / 17:45)
Короче хочу в куки занести пароль, для автоматической авторизации. И у пользователя будет в базе время последней активности, определенной time();
так вот, я хочу хэш этого тайма перемешать с хэшем пароля. причем даже сам пользователь никак не сможет узнать время своей последней активности. Что думаете?)

Добавлено через 09:28 сек.
при обновлении страницы куки автоматом обновляются, если разумеется пользователь поставил галочку "запомнить", таким образом мы получаем универсальный общий хэш, который постоянно меняется)

2. Валерий (04.07.2013 / 17:58)
WAT
Что за хрень ты выдумал.. я нифига не понял

3. chiper (04.07.2013 / 18:12)
читай еще раз.
1372945991 - время последней активности на сайте.
12345 - пароль.
хешируем обе строки, перемешиваем и заносим в куки. потом по аналогии происходит автоматическая авторизация

4. Дмитрий (04.07.2013 / 18:12)
1. chiper, а тогда какая необходимость возиться с паролем ?
Смотри, у тебя так и так все строится на времени последнего посещения - поэтому ты хочешь использовать пароль+последнее посещение, чтобы если у кого-то совпадет последнее посещение то будут разные хэши из-за того что добавляем пароль к хэшу
А если сразу получать уникальную строку для одного пользователя, например в php будет достаточно uniqid();
1. результат записывать в куки
2. из нее получать хэш, хэш записывать в БД
3. из куки получать хэш и сравнивать с хэшем в БД

ну и понятно что алгоритм получения хэша это не обязательно md5() это может быть и sha1() или md5(sha1()) т.е. кто-то получит хэш или содержимое куки чтобы взломать ему нужно будет или знать алгоритм хэширования или знать какую-то уязвимость в скрипте чтобы иметь какой-то доступ к БД

Так же проще ?

5. chiper (04.07.2013 / 18:19)
4. Arhitector, хм.. спасибо) плюсую

URL: https://visavi.net/topics/38353