Login Cookies – PHP – Fórum – Programujte.com

Zdravím. Chcel by som sa opýtať, či pri logine je vhodné do cookies zapísať meno, email, id užívatela a samozrejme nejaký overujuci salt, pomocou ktorého overujem, či je užávateľ prihlásený alebo nie. Poprípade nejaké bezpečnostné rady čo sa týka overenia používateľa. 

Ďakujem.

#1 Codemaster
Do cookies dávám jen session_id. Vše ostatní mám v session, tedy i informaci o tom, zda je uživatel přihlášen a pod jakým id.

#2 Kit
Takze ty nastavis nejaky session id, ten ulozis do cookies, a podla toho idcka nastavis ostatne session premenne. Tak je ? A potom podla session id nacitas potrebne udaje ... 

#3 Codemaster
Přesně. Sníží to množství dat, funguje to i když má uživatel zakázané cookies a také to zajistí, že si uživatel ta data v cookies nezfalšuje.

#4 Kit
Takze pomocou predom nastaveneho session id php vyberie data pre dane session id? Tak to funguje? Moc som sa v tomto nestihol prevrtat a chcel by som mat čo najviac zabezpečený login čo sa týka session a cookies ... 

#4 Kit
A este dotaz. Do session premennej ukladas hashovane data ci normálne bez hashu ? Lebo neviem ako to je so session, lebo oni su ukladane na serveri, takze by sa tam nemal nikto z vonku dostat, dokym neprenikne do serveru uplne, ci ? 

#6 Codemaster
Není co hashovat. Uživatelské jméno ani heslo se v mých session nenachází.

Už mám celý register, overovanie a všetko. Ďakujem za odpoveď. Ešte to ošetriť od sql injection a xss a na chvilku pokoj.

#8 Codemaster
Tyhle věci mívám ošetřeny už v návrhu, takže se o ně při realizaci nemusím starat.

Kit - Takze mas v session nejaky hash misto jmena a hesla a mas pocit, ze je to bezpecnejsi? Ten hash pak overujes vuci hash v db nebo hash, ktery vyrobis z udaju z db pro id uzivatele? Takze je to totez, jako overovat jmeno a heslo. Jenom je to trosku zamlzene. Hackera to nijak nezmate. Prijde mi, ze vysledek tveho snazeni byl marny. Ale samozrejme pouzivam podobny postup :) Jen o tom neprohlasuji, ze je to super bezpecnejsi.

Samozrejme, je tu moznost, pridavat k hash take casove razitko. Tak muze byt pro kazdou stranku ten hash jiny.

#10 peter
Ne. V session nemám ani login, ani heslo. Ani žádný jejich hash.

Tak to by mne fakt zajimalo, jak zjistujes, zda je uzivatel prihlasen :)

#13 peter
Přece podle user_id v session. Nepřihlášený uživatel ho má nulový.

Aha, takze mi staci dat do session id admina. Tipnu si, id 0-20 je asi admin. A jsem prihlaseny jako admin, jupi, jou, nemusim znat ani heslo :)

Vim, vim, jiste reknes, ze bezny uzivatel do session zasahovat nebude. Jenze, bezneho uzivatele  bezpecnost nezajima :)

#16 peter
Jakým způsobem hacker zapíše user_id do session?

Normalne, naboura se do prohlizece/pc a prepise cookies nebo prenos dat do pc. Jak to delali hackeri do ted s user id, name a psw? Meli o neco jednodussi zcizit session, protoze to nebylo sifrovane.
Nebo mozna mluvis o necem jinem. Ja porad premyslim nad $_COOKIES a $_SESSION. To jsou pole, kam si muzes ulozit, co chces. Obsah neni nijak zabezpeceny.

Samozrejme bych vedel spoustu jinych zpusobu, jako treba klonovat pc a uzivatel pak uz pracuje jako pres vpn tunel. A mezitim mu na pozadi provadim vlastni operace. (nebo vpn tunel mam do uzivatele ja, ale to pak by videl otevirat okna prohlizece). Pak mi na tom, co je v session nezalezi :)

Zkratka takovy teamviewer. zivatel rozdil nepostrehne, admin by to dokazal dohledat a asi by si i vsiml nejakych nesrovnalosti.

#18 peter
Do $_SESSION nemá uživatel jak zapsat. K tomu má oprávnění pouze skript, který běží na serveru.

Ano, cookie lze ukrást, ale u důležité aplikace použiješ HTTPS a je vymalováno.

#20 Kit
Myslíš že je to tak bezpečné, Session ? 

Lebo existuje aj niečo také ako session stealing. Ukradneš ID, zapíšeš do pc a vydávaš sa za niekoho iného. Session id je fajn ale kontroloval by som to aj dalšími premennými, ako napr. Typ browseru, Ip a čokolvek čo sa len dá :)

#21 Codemaster
Session ID je nutné zabezpečit. Například přes HTTPS. Vše ostatní jsou jen obstrukce, které se při troše šikovnosti dají překonat a přitom mohou působit problémy legálnímu uživateli. Například kontrola na IP je nesmyslná, protože IP se ti může během hodiny změnit několikrát a pokaždé by ses musel znovu přihlašovat.

#22 Kit
Napr Browser sa namení. OS sa nemení. Krajina IPčky sa nemení ... Čím viac zhod, tym je ťažšie to obísť a samozrejme HTTPS... Čiže ochrana proti sniffu.

#23 Codemaster
Běžně se mi vymění i 4 IP za hodinu a sem-tam mi naskočí IP z jiného státu. Fakt mě chceš obtěžovat, abych se pokaždé musel přihlašovat znovu? Navíc to nezabrání tomu, aby mi session neukradla jiná aplikace běžící v tom samém počítači.

Dobrá, budu mít pouze HTTPS, nebudu dělat kontrolu OS ani IP. Jakým postupem mi chceš ukrást session_ID nebo změnit user_ID v session?

Souhlasím, že session_ID je dobré občas vyměnit, zejména před každou změnou v datech.

#24 Kit

Na to jedine by bolo nutné vedieť overovacie klúče, ak sa nemýlim.

#25 Codemaster
Přesně tak. A ty klíče se každé 2 hodiny mění, výměna je šifrována a digitálně podepsána serverem.

#26 Kit
Toto bolo httpsko... Ale teraz takto: Cookies su ukladané v temp suboroch daného prehladavača, čiže prístup k nim je otvorený. V dnešnej dobe je tých malware-ov a ostatných vírov tolko, že je to jednoduché, aby sa krátky program, napísaný v cčku prehrabal súbormi, cookies našiel, odoslal a nezanechal žiadnu viditeľnú stopu. Bežný užívateľ ani len netuší, že v pc nejaké cookies má a čo v nich je. A takto máme session ID ... krajina ipčky sa nemení. Aké by to bolo, keby ideš na stránku a zrazu ti to hodí arabčinu ?? No neprijemné, tak to nefunguje. Mení sa ip, ale krajina je zachovaná = Odfiltrovanie utoku z okolitých štátov, no problém je vnútri štátu. Kombinácia IP, Browseru, Operačneho systemu a dajme tomu rozlíšenia obrazovky ... Čosi o trošičku lepšie ... Podľa mna, čím viac unikátnych udajov je na porovnanie, tým je menšia pravdepodobnosť útoku alebo skor úspechu útoku. Ak by som všetko zveril do rúk jednomu IDčku, mohol by som prehlásiť, kto vie id ten má účet... 

#27 Codemaster
To user_ID nikdo nemá - pouze server, který nedovolí jeho změnu.

Za podstatnou ochranu považuji hlavně HTTPS. Bez něj si můžeme na zabezpečení pouze hrát.

Aby bylo jasno: Sekundární ochranu session_id používám, i když na jiném principu.

Soubory s cookies si klientský program (např. Firefox) za běhu zamyká.

#28 Kit
Áno nedovolí, lebo je v DB a bez toho aby si sa dostal na server to nejde, ovšem ak je dobre zabezpečený. Zvážim všetky ochrany, no Ďakujem za rady :) V Sessione potom už uchovávaš odhashované data nie ? Tam už je hash prakticky nanič, lebo heslo sa do sessionu nedostane. 

#29 Codemaster
V session udržuji jen minimum dat, abych neměl duplicitu s databází. Není vlastně co hashovat, jsou tam jen věci, které se týkají aktuálního spojení a nic víc. V podstatě jen user_id a nějaké chybové hlášky, které je nutné si pamatovat i po reloadu stránky.

#30 Kit
Ďakujem, ešte prerobím celý systém 

#30 Kit
A ešte jednu vec, prečo nedať do Session premenné ako email a pod ... ktoré niesu citlivé ?

#32 Codemaster
Protože tyto údaje mám v databázi a duplicita by byla zbytečná.

#33 Kit
Zbytočné zaťažovanie databáze či ? Inak Session drží server v suboroch alebo v RAMke ? 

#34 Codemaster
Stejně si musím do té databáze sáhnout pro data. Není problém poslat jeden dotaz navíc. Také se může stát, že se mezitím data v databázi změní a v session by najednou byla špinavá. Než řešit takové kolize, tak je jednodušší poslat jeden DB dotaz navíc. Kromě toho tyto údaje potřebuji jen výjimečně nebo se svezou jako další sloupce v nějakém DB dotazu.

Představ si, že bych nějakému hráči dal ban a on by mohl hrát, dokud mu nevyprší session. Trochu blbé, ne?

#35 Kit

To je pravda. Ja tam storujem len meno piezvysko, email a id ... Tieto data sa nemenia a nemusím robiť requesty Samozrejme pri tvojom prípade je to očividné že treba načítavať real-time údaje.

Jj, to jsem presne chtel rici. Pokud nedokazes zabezpecit data, prenos, tak dalsi pokus o zabezpeceni je zbytecny. Jedno, zda je tam id nebo jiny identifikator uzivatele. Ale zrovna id mi neprijde jako bezpecne. Urcite bych tam pridal jeste hash z hesla, treba jen 3 znaky. Id, jako cislo, lze snadno zmenit na jine id, treba admina. Ale tipnout si jeho hash uz tak snadne neni.

Zamykani prohlizece je jen zesilena ochrana, ale kdyz ti program naboura prohlizec, tak muze prepisovat cookies na pozadi. Zmeni to idecko a prehlasi se na admina pro stejnou session_id. Takze dalsi zabezpeceni z toho plyne, ulozit si nekde session id do db pri prihlaseni.
Nebo muze pripadne pracovat se stejnou session a neco tam uzivateli menit. Nebal bych se tvrdit, ze podezrele programy jsou treba AdBlock, ikdyz taky pouzivam. Klidne to muze mit pod kontrolou CIA.

Ja mel za to, ze COOKIES jsou provazane se SESSION. Vim, ze to jde nejak rozvazat, ale vetsinou je to stale zaple. Takze, kdyz v prohlizeci zmenis cookies, coz umi i javascript, tak se pri odesilani odeslou nove cookies na server a doplni do session.

#37 peter
Vysvětli mi, jak se vyměňuje user_id v session.

To bych musel zkusit. Dosud jsem nikdy nemel potrebu menit session pres cookies.