Witam!

Drodzy użytkownicy proszę o poradę:

- jakie sposoby autoryzacji są najbezpieczniejsze?

- czy system logowania oparty na sesjach (z bazą danych w mysql) jest wpełni bezpieczny [przy założeniu, że jest poprawnie napisany] ?



Jeżeli posiadacie jakieś autorskie "elementy zabezpieczeń", pomysły lub linki które przyczynią się do poprawy bezpieczeństwa systemu logowania to bardzo proszę o ich przedstawienie.

Z góry dziękuję i pozdawiam!

Tu masz artykuł o sesjach http://wortal.php.pl/wortal/artykuly/bezpi...zenia_i_ochrona

1) nie ma systemów w 100% bezpiecznych
2) dobrze napisany system jest dość bezpieczny

Nie przesyłać danych czystym tekstem. Wysyłać przez HTTPS bądź zakodowane.

Okej dzięki, a co myślicie o

- kodach bezpieczeństwa

- kontorolowaniu sesji i jej logowaniu

- zastosowaniu ciasteczek wraz z sesjami ?

Na moim blogu masz przykład klasy sesji z trzymaniem jej w bazie danych, doszedłem do wniosku że nie ma sensu trzymanie sessji w bazie danych. Kiedyś napiszę lepszą. Ciasteczka? A po co to komu? Każda sesja jest wywoływana dla osobnego użytkownika i jej czas życia ustawiasz Ty, reload strony update czasu życia, lub też i nie, np u mnie sessja trwa 1h max, po tym czasie wyloguje Cie z strony i musisz logować się jeszcze raz. Jak się pchasz w ciasteczka możesz się narazić na ataki, chyba że nieźle mixujesz sid dla ciasteczek, tak jak np ja: ip + user_agent + data utworzenia + id usera + session_id podczas utworzenia. Weź mi to przemixuj do ciasteczka i spróbuj to podmienić na właściwe. Kontrola sessji warunkowa.Kody bezpieczeństwa? Co Ty aplikacje bankową piszesz? Może jeszcze zacznijmy od logowania na pgkeyach?

Chciałbym napisać coś w stylu zdalnego panelu do zarządzania linuxem (maszyną fizyczną).

Dlatego kwestię bezpieczeństwa stawiam na 1 miejscu.

Co do ciasteczek- ciekawy sposób.



Dziękuję za podpowiedź

http://www.beldzio.com/kategoria/bezpieczenstwo/logowanie

Polecam!

(niestety artykuły raczej dla osób raczkujących w tematyce PHP)