Безопасность авторизованного юзера - Visavi.net
https://visavi.net/
RSS - Visavi.nethttps://visavi.net/assets/img/images/logo_small.pngRSS - Visavi.net
https://visavi.net/
[email protected] (admin)[email protected] (admin)Fri, 10 Jan 2025 12:14:41 +0300Тему закрываю
https://visavi.net/topics/32050/554920
Безопасность авторизованного юзера KOZZMon, 21 May 2012 11:13:33 +0400Сообщенияhttps://visavi.net/topics/32050/554920сделал так: добавил в таблицу `users` поле sid , обновляю при каждой авторизации.<br>
спасибо G_A_N_J_A_R, +1
https://visavi.net/topics/32050/554709
Безопасность авторизованного юзера KOZZSun, 20 May 2012 18:47:54 +0400Сообщенияhttps://visavi.net/topics/32050/55470917. <strong>ramzes</strong>, ну в случае случайной открытой xss это как минимум облегчает задачу хакеру <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> хотя это другая история
https://visavi.net/topics/32050/554693
Безопасность авторизованного юзера KOZZSun, 20 May 2012 17:32:28 +0400Сообщенияhttps://visavi.net/topics/32050/554693<blockquote class="blockquote"><strong>eGo Работает на Себя</strong> (20 Мая 2012 / 16:28)<br>
13, пароль в куке держать? не очень</blockquote>
Почему не очень?<br>
Я тебе могу свои куки дать и ни чего не случится.
https://visavi.net/topics/32050/554692
Безопасность авторизованного юзера ramzesSun, 20 May 2012 17:26:25 +0400Сообщенияhttps://visavi.net/topics/32050/55469212. да. а там уже смотри что тебе более нужно. выше безопасность будет если менять хеш. так как исключается возможность того что чел забыл на левом компе выйти и будет получен несанкционированный доступ.<br>
либо регенерить хеш только по запросу пользователя. с админки например
https://visavi.net/topics/32050/554687
Безопасность авторизованного юзера БогданSun, 20 May 2012 16:50:05 +0400Сообщенияhttps://visavi.net/topics/32050/554687так то да
https://visavi.net/topics/32050/554683
Безопасность авторизованного юзера АндрюхаSun, 20 May 2012 16:34:00 +0400Сообщенияhttps://visavi.net/topics/32050/55468313, пароль в куке держать? не очень
https://visavi.net/topics/32050/554682
Безопасность авторизованного юзера KOZZSun, 20 May 2012 16:28:05 +0400Сообщенияhttps://visavi.net/topics/32050/554682я сопоставляю куку логина и куку пароля (зашифрованного естественно) и все. Тоесть это функция is_user(); она возвращает true если логин и пароль подходят друг другу и false если нет. Ну и на каждой странице if(is_user())... <br>
<br>
Незнаю,мне хватает
https://visavi.net/topics/32050/554675
Безопасность авторизованного юзера АндрюхаSun, 20 May 2012 16:11:38 +0400Сообщенияhttps://visavi.net/topics/32050/55467510. <strong>G_A_N_J_A_R</strong>, хм, спасибо, интересная идея <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> <br>
<br>
<em><span style="font-size:x-small">Добавлено через 01:50 сек.</span></em><br>
10, то есть получается каждой авторизации пишем в базу автоматически сгенерированный сервером сид? тогда если юзер зайдет с компа, а потом с телефона, то каждый раз будет авторизовываться заново
https://visavi.net/topics/32050/554668
Безопасность авторизованного юзера KOZZSun, 20 May 2012 15:44:42 +0400Сообщенияhttps://visavi.net/topics/32050/5546689. <strong>eGo Работает на Себя</strong>, если у тебя в куке только ид то ты вообще не авторизируешь пользователя, или авторизируешь кого попало.
https://visavi.net/topics/32050/554667
Безопасность авторизованного юзера ramzesSun, 20 May 2012 15:41:27 +0400Сообщенияhttps://visavi.net/topics/32050/5546679. это в обще глупо, если его только по ид с куки идентифицировать.<br>
Лучше создать еще 1 поле в котором хранить временный хеш пользователя и его писать в куки. по чем и идентифицировать. При каждой авторизации пользователя - хеш менять. тогда все его пред. авторизации будут не актуальными
https://visavi.net/topics/32050/554666
Безопасность авторизованного юзера БогданSun, 20 May 2012 15:39:48 +0400Сообщенияhttps://visavi.net/topics/32050/5546668. <strong>ramzes</strong>, если хранить в куке только id юзера, то это как минимум не безопасно и не очень элегантно. так?
https://visavi.net/topics/32050/554664
Безопасность авторизованного юзера KOZZSun, 20 May 2012 15:26:57 +0400Сообщенияhttps://visavi.net/topics/32050/554664<blockquote class="blockquote"><strong>eGo Работает на Себя</strong> (20 Мая 2012 / 14:20)<br>
5. <strong>ramzes</strong>, как я могу использовать sid (session id), если например сессия будет разрушена, а кука будет существовать? не уловил</blockquote>
один фиг не понял...
https://visavi.net/topics/32050/554639
Безопасность авторизованного юзера ramzesSun, 20 May 2012 14:45:39 +0400Сообщенияhttps://visavi.net/topics/32050/554639Сид всему голова ) когда нужна безопасность больше обычной, пользую эцп, одноразовыми паролями и криптозащитой
https://visavi.net/topics/32050/554637
Безопасность авторизованного юзера АртурSun, 20 May 2012 14:32:20 +0400Сообщенияhttps://visavi.net/topics/32050/5546375. <strong>ramzes</strong>, как я могу использовать sid (session id), если например сессия будет разрушена, а кука будет существовать? не уловил
https://visavi.net/topics/32050/554633
Безопасность авторизованного юзера KOZZSun, 20 May 2012 14:20:20 +0400Сообщенияhttps://visavi.net/topics/32050/554633