Forum Webscript.Ru

Программирование => PHP => Тема начата: HefneR от 24 Ноября 2006, 15:42:48

Название: Безопасная авторизация
Отправлено: HefneR от 24 Ноября 2006, 15:42:48
Уже как-то писал авторизацию пользователей на сайте, но по неопытности, он получился весь дырявый. Теперь опять встала эта задача, но хочется что бы решение было защищено в полной мере. Искал статьи, но большинство ещё хуже чем мой старенький скрипт. Есть конечно же и те, где указываются слабые места, но всё-равно не полность. Если кто видел грамотную статью на тему как защитить авторизацию на сайте, поделитесь плз ссылочкой!

PS: я не ищу готовый код, хотя бы чисто тиоритически
Название: Безопасная авторизация
Отправлено: Egorsha от 27 Ноября 2006, 09:16:42
Здесь смотрел?

http://www.securitylab.ru/ (http://www.securitylab.ru/)

Если нет, то посмотри. Возможно в статьях что-то и найдешь.
Название: Безопасная авторизация
Отправлено: unclebob от 15 Декабря 2006, 09:13:26
HefneR
Что Вы имеете ввиду под безопасной авторизацией?
Название: Безопасная авторизация
Отправлено: xames от 23 Декабря 2006, 17:08:22
1. при загрузке формы авторизации выдаем пользователю сессию, например, "count=1".
2. при проверке входных данных (post запрос) проверяем наличие сессии(count), если есть проверяем ее значение, оно не должно быть больше N (количество попыток авторизации). Если count > N то header(\'Status: 404\');exit;. Если же count3. Проверяем наличие пользователя с текущим логином и пасом(введеными в форме) в базе(файле, и т.д.) если пользователя нету то count++ -> форма авторизации.
4. если пользователь нашелся, редиректим на admin.php, count=0; и auth=1; (в admin.php проверяешь наличие в сессии значения auth = 1, если такоговой нету то редиректишь на auth.php)

Отчасти это поможет обезопастить авторизацию от подбора паролей.
остальная "безопасность" зависит лишь от реализации=)
Название: Безопасная авторизация
Отправлено: CGVictor от 23 Декабря 2006, 22:52:08
xames
1,2 - ерунду сказал, дырку.
Что будет, если я просто не передам параметр сессии?
Название: Безопасная авторизация
Отправлено: xames от 24 Декабря 2006, 11:29:59
если не передашь от тебя не будут приняты логин и пас =) (может ты неправильно про параемтр понял? $_SESSION[\'count\']=1;)
Название: Безопасная авторизация
Отправлено: brainkiller от 24 Декабря 2006, 16:31:47
xames
ты сам не понял: если сессионную куку затереть, то count будет снова равен единице - и так до бесконечности.
Название: Безопасная авторизация
Отправлено: CGVictor от 24 Декабря 2006, 18:12:25
[off]замечательная ветка по безопасной авторизации[/off]
Название: Безопасная авторизация
Отправлено: xames от 24 Декабря 2006, 18:47:47
Если сессионую куку затереть, то сессия будет неопределенной, следовательно count будет отсутсвовать, а значит и данные опять приниматься не будут!
Название: Безопасная авторизация
Отправлено: brainkiller от 25 Декабря 2006, 02:02:46
xames
сам же написал:
Цитировать
1. при загрузке формы авторизации выдаем пользователю сессию, например, "count=1".
Название: Безопасная авторизация
Отправлено: xames от 25 Декабря 2006, 09:52:16
Твои слова:
Цитировать
brainkiller:
ты сам не понял: если сессионную куку затереть, то count будет снова равен единице - и так до бесконечности.

ТОт кому надо авторизироваться сессию не будет стирать, логично? а тот кто захочет написать подборщика паролей столкнется с трудностями.
Название: Безопасная авторизация
Отправлено: CGVictor от 25 Декабря 2006, 11:08:39
xames
Уфф.
Цитировать
xames:
столкнется с трудностями

ой ли? форму запросить лишний раз?
Название: Безопасная авторизация
Отправлено: xames от 25 Декабря 2006, 13:14:03
Может свой вариант предложишь для начала, а потом начнешь критиковать?
Название: Безопасная авторизация
Отправлено: CGVictor от 25 Декабря 2006, 23:50:44
xames
Тут - в приведенном примере - всё просто: пишем отдельно ip (без поблажек типа via), можем отдельно еще и хранить где-то активную сесию для аккаунта в системе. Если нужно.

Ключевое слово - если нужно. Логично поставить вопрос (все же к автору) "а чего ты хочешь от системы безопасности, какого уровня безопасности?"
Название: Безопасная авторизация
Отправлено: andymc от 07 Января 2007, 00:29:17
А HefneR походу уже ничего не нужно...
Народ, а чё проблема только в подборе пароля? Так сделайте  интервал между попытками подбора 1 минуту! В форуме vBulletin вообще после 5 попыток 15 минут застоя...