nie rozumiem czegos w logowaniu w oparciu o cookies. Przeciez jezeli ktos sobie samemu umiesci plik cookie ktory jest sprawdzany na kazdej podstronie wymagajacej zalogowania, to nie logujac sie ma dostep do czesci dla zalogowanych.. wiec w zasadzie kazdy moze sie zalogowac jezeli tylko utworzy ciasteczko o odpowiedniej nazwie i byle jakiej wartosci
prosze mnie wyprowadzic z bledu...
Pełna wersja: logowanie na ciastkach
W takim ciastku zapisujesz login i hasło(hash - md5, sha1), jeżeli nie trzymasz ich w sesji. Przy każdym żądaniu sprawdzasz czy login i hasło pasują i wtedy dopiero nadajesz prawa...
@Ja_Szczur a od czego sa filtry?
od filtrowania 
ja osobiście nie używam logowania na ciastkach, skoro mogę używać do tego sesji
ja osobiście nie używam logowania na ciastkach, skoro mogę używać do tego sesji
Cytat(Ludvik @ 31.07.2006, 23:12 ) 
W takim ciastku zapisujesz login i hasło
czyli na samym początku każej podstrony po logowaniu powinienem sprawdzać prawdziwość loginu i hasła?
czy szyfrowanie jest konieczne?
Oczywiście. Hasło w ciastku musi być zahashowane, żeby nikt nawet kradnąc ciastko nie był w stanie odgadnąć go tak łatwo. Pozostaje mu brute force. Jeżeli przejmie ciastko to się zaloguje, ale hasła nie zmieni...
Cytat
Jeżeli przejmie ciastko to się zaloguje, ale hasła nie zmieni...
No nie do konca.... jak sie zaloguje to i haslo zmieni, bo wiekszosc aplikacji umozliwia zmiane hasla po zalogowaniu 
no i to jest właśnie ten problem, ja bym do ciacha dodał zahashowane ID usera, to jest:
- IP
- user agent
wziąźć do kupy i zahashować w md5 (oczywiście ten, co skradł ciacho nie zna metody hashowania). Jeżeli te dane sie bedą zgadzać (łącznie z hasłem)... zalogowany, jeżeli nie to formularzyk autoryzacji
pozdrawiam:)
- IP
- user agent
wziąźć do kupy i zahashować w md5 (oczywiście ten, co skradł ciacho nie zna metody hashowania). Jeżeli te dane sie bedą zgadzać (łącznie z hasłem)... zalogowany, jeżeli nie to formularzyk autoryzacji
pozdrawiam:)
Cytat(nospor @ 1.08.2006, 17:02 )
No nie do konca.... jak sie zaloguje to i haslo zmieni, bo wiekszosc aplikacji umozliwia zmiane hasla po zalogowaniu
Ale ta większość aplikacji pyta się o stare hasło, którego atakujący nie zna (hash mu nic nie da)
Cytat(Ludvik @ 1.08.2006, 16:34 )
Ale ta większość aplikacji pyta się o stare hasło, którego atakujący nie zna (hash mu nic nie da)
mimo to, niebezpieczny sposób, już mój, który podałem wyzej szybciej wejdzie w zycie...
pozdrawiam
Wcale nie jest mniej bezpieczny od logowania opartego na sesjach. I jedno i drugie ciastko można tak samo łatwo ukraść. Poza tym duża część stron (np. ten board) udostępnia automatyczne przywracanie sesji i zapisuje właśnie takie ciastko.
EDIT: Nie doczytałem. Nie chce mi się kolejny raz wyjasniać tego - to nie zadziała. Tutaj to zostało wyjaśnione...
EDIT: Nie doczytałem. Nie chce mi się kolejny raz wyjasniać tego - to nie zadziała. Tutaj to zostało wyjaśnione...
Cytat
Ale ta większość aplikacji pyta się o stare hasło, którego atakujący nie zna
Hehe, i tu mnie masz Ale na upartego można skorzystać z opcji "przypomnij hasło", ktora nie wymaga już starego hasla ale zazwyczaj email. A email to juz se w koncie koles bedzie mogl zmienic
Ale do tematu.
Mozna tez zamiast hasla trzymac jaki identyfikator, ktory zapisywany jest rownież w bazie. Po kazdym logowaniu zmieniac ten identyfikator. Nawet jesli ktos wykradnie ciacho, to jest duza szansa, ze juz sie zmieni identyfikator i koles bedzie mial nieaktualne ciacho
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.