Автор Тема: Организация авторизации (Прочитано 17691 раз)

Yaroslav · « : 22 Июня 2006, 14:52:40 »

долго думал и искал способ безопасной авторизации и вот выношу на ваше обозрение следующее:

1. естественно идет сверка логина и пароля с данными на сервере
2. при каждой авторизации запускается код генирации случайного пароля, тоесть он будет все время новый.
3. логин и случайный пароль забиваются в хеш на сервере и в куки пользователю.

естественно что далее уже куки будут сверятся с временным паролем по логину.

очень прошу высказать ваше мнение.
кто знает способ луше также прошу поделиться

Greg · « **Ответ #1 :** 22 Июня 2006, 15:03:00 »

по-моему, ты описал какой-то аналог переменной сессии

arto · « **Ответ #2 :** 22 Июня 2006, 15:06:45 »

а почему оно называется "безопасной"?

Yaroslav · « **Ответ #3 :** 22 Июня 2006, 15:11:20 »

Greg
может быть, но с сесиями я знаком поверхносно...
и по сравнению с ними тут есть свою плюсы:
1. работа быстрее
2. результат работы сесий надо удалять, а тут нет

Yaroslav · « **Ответ #4 :** 22 Июня 2006, 15:11:55 »

arto
а что опасное?

arto · « **Ответ #5 :** 22 Июня 2006, 15:16:05 »

а что там именно безопасно?

Yaroslav · « **Ответ #6 :** 22 Июня 2006, 15:19:30 »

arto
1. лучше чем передавать логин и пароль а куках
2. даже лучше чем передавать просто логин
3. и лучше чем передавать в зашифрованом виде

arto · « **Ответ #7 :** 22 Июня 2006, 15:31:08 »

чем лучше? чем логин?

а если я перехвачу ваш хеш?

Greg · « **Ответ #8 :** 22 Июня 2006, 15:31:57 »

Yaroslav
зачем тут куки?

??
есть переменные сеанса, почитай сначала про сессии и не пори лабуду

Yaroslav · « **Ответ #9 :** 22 Июня 2006, 15:42:36 »

arto
это как же если он на сервере лежит?
и при следующем заходе данные будут переписаны

Yaroslav · « **Ответ #10 :** 22 Июня 2006, 15:44:09 »

Greg
можно и без них, но с ними удобнее, дабы не прикреплять к каждой ссылке $login & $kod

arto · « **Ответ #11 :** 22 Июня 2006, 15:46:18 »

"3. логин и случайный пароль забиваются в хеш на сервере и в куки пользователю."

Yaroslav · « **Ответ #12 :** 22 Июня 2006, 16:15:25 »

Цитировать

а если я перехвачу ваш хеш?

Цитировать

это как же если он на сервере лежит?
и при следующем заходе данные будут переписаны

Цитировать

"3. логин и случайный пароль забиваются в хеш на сервере и в куки пользователю."

максимум - перехватишь случайный код в браузере юзера
но что с ним делать ведь незнаешь?
ну повесишь его себе в куки и пойдешь на главную страницу, где тебя попросят ввести правильный пароль, которого ты не знаешь

arto · « **Ответ #13 :** 22 Июня 2006, 16:56:25 »

почему на главную?

Yaroslav · « **Ответ #14 :** 22 Июня 2006, 17:22:34 »

arto
а куда еще?
хотя конечно да, если подсмотрел урл куда надо идти то можно будет зайти при условии:
1. вытащил с куков данные (которые я вешаю на хранение до конца сеанса)
2. повесил кук обратно. на своем апаче.
3. запомнил куда надо идти.

но такими же грехами страдает любая система авторизации
(если даже не больше)

Новости:

Автор Тема: Организация авторизации (Прочитано 17691 раз)