Автор Тема: Безопасная авторизация (Прочитано 9401 раз)

HefneR · « : 24 Ноября 2006, 15:42:48 »

Уже как-то писал авторизацию пользователей на сайте, но по неопытности, он получился весь дырявый. Теперь опять встала эта задача, но хочется что бы решение было защищено в полной мере. Искал статьи, но большинство ещё хуже чем мой старенький скрипт. Есть конечно же и те, где указываются слабые места, но всё-равно не полность. Если кто видел грамотную статью на тему как защитить авторизацию на сайте, поделитесь плз ссылочкой!

PS: я не ищу готовый код, хотя бы чисто тиоритически

Egorsha · « **Ответ #1 :** 27 Ноября 2006, 09:16:42 »

Здесь смотрел?

http://www.securitylab.ru/

Если нет, то посмотри. Возможно в статьях что-то и найдешь.

unclebob · « **Ответ #2 :** 15 Декабря 2006, 09:13:26 »

HefneR
Что Вы имеете ввиду под безопасной авторизацией?

xames · « **Ответ #3 :** 23 Декабря 2006, 17:08:22 »

1. при загрузке формы авторизации выдаем пользователю сессию, например, "count=1".
2. при проверке входных данных (post запрос) проверяем наличие сессии(count), если есть проверяем ее значение, оно не должно быть больше N (количество попыток авторизации). Если count > N то header(\'Status: 404\');exit;. Если же count3. Проверяем наличие пользователя с текущим логином и пасом(введеными в форме) в базе(файле, и т.д.) если пользователя нету то count++ -> форма авторизации.
4. если пользователь нашелся, редиректим на admin.php, count=0; и auth=1; (в admin.php проверяешь наличие в сессии значения auth = 1, если такоговой нету то редиректишь на auth.php)

Отчасти это поможет обезопастить авторизацию от подбора паролей.
остальная "безопасность" зависит лишь от реализации=)

CGVictor · « **Ответ #4 :** 23 Декабря 2006, 22:52:08 »

xames
1,2 - ерунду сказал, дырку.
Что будет, если я просто не передам параметр сессии?

xames · « **Ответ #5 :** 24 Декабря 2006, 11:29:59 »

если не передашь от тебя не будут приняты логин и пас =) (может ты неправильно про параемтр понял? $_SESSION[\'count\']=1;)

brainkiller · « **Ответ #6 :** 24 Декабря 2006, 16:31:47 »

xames
ты сам не понял: если сессионную куку затереть, то count будет снова равен единице - и так до бесконечности.

CGVictor · « **Ответ #7 :** 24 Декабря 2006, 18:12:25 »

[off]замечательная ветка по безопасной авторизации[/off]

xames · « **Ответ #8 :** 24 Декабря 2006, 18:47:47 »

Если сессионую куку затереть, то сессия будет неопределенной, следовательно count будет отсутсвовать, а значит и данные опять приниматься не будут!

brainkiller · « **Ответ #9 :** 25 Декабря 2006, 02:02:46 »

xames
сам же написал:

Цитировать

1. при загрузке формы авторизации выдаем пользователю сессию, например, "count=1".

xames · « **Ответ #10 :** 25 Декабря 2006, 09:52:16 »

Твои слова:

Цитировать

brainkiller:
ты сам не понял: если сессионную куку затереть, то count будет снова равен единице - и так до бесконечности.

ТОт кому надо авторизироваться сессию не будет стирать, логично? а тот кто захочет написать подборщика паролей столкнется с трудностями.

CGVictor · « **Ответ #11 :** 25 Декабря 2006, 11:08:39 »

xames
Уфф.

Цитировать

xames:
столкнется с трудностями

ой ли? форму запросить лишний раз?

xames · « **Ответ #12 :** 25 Декабря 2006, 13:14:03 »

Может свой вариант предложишь для начала, а потом начнешь критиковать?

CGVictor · « **Ответ #13 :** 25 Декабря 2006, 23:50:44 »

xames
Тут - в приведенном примере - всё просто: пишем отдельно ip (без поблажек типа via), можем отдельно еще и хранить где-то активную сесию для аккаунта в системе. Если нужно.

Ключевое слово - если нужно. Логично поставить вопрос (все же к автору) "а чего ты хочешь от системы безопасности, какого уровня безопасности?"

andymc · « **Ответ #14 :** 07 Января 2007, 00:29:17 »

А HefneR походу уже ничего не нужно...
Народ, а чё проблема только в подборе пароля? Так сделайте интервал между попытками подбора 1 минуту! В форуме vBulletin вообще после 5 попыток 15 минут застоя...

Новости:

Автор Тема: Безопасная авторизация (Прочитано 9401 раз)