Login Cookies – PHP – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Login Cookies – PHP – Fórum – Programujte.comLogin Cookies – PHP – Fórum – Programujte.com

 

Codemaster0
Návštěvník
31. 10. 2016   #1
-
0
-

Zdravím. Chcel by som sa opýtať, či pri logine je vhodné do cookies zapísať meno, email, id užívatela a samozrejme nejaký overujuci salt, pomocou ktorého overujem, či je užávateľ prihlásený alebo nie. Poprípade nejaké bezpečnostné rady čo sa týka overenia používateľa. 

Ďakujem.

Nahlásit jako SPAM
IP: 85.135.230.–
Kit+15
Guru
31. 10. 2016   #2
-
0
-

#1 Codemaster
Do cookies dávám jen session_id. Vše ostatní mám v session, tedy i informaci o tom, zda je uživatel přihlášen a pod jakým id.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
31. 10. 2016   #3
-
0
-

#2 Kit
Takze ty nastavis nejaky session id, ten ulozis do cookies, a podla toho idcka nastavis ostatne session premenne. Tak je ? A potom podla session id nacitas potrebne udaje ... 

Nahlásit jako SPAM
IP: 85.135.230.–
Kit+15
Guru
31. 10. 2016   #4
-
0
-

#3 Codemaster
Přesně. Sníží to množství dat, funguje to i když má uživatel zakázané cookies a také to zajistí, že si uživatel ta data v cookies nezfalšuje.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
31. 10. 2016   #5
-
0
-

#4 Kit
Takze pomocou predom nastaveneho session id php vyberie data pre dane session id? Tak to funguje? Moc som sa v tomto nestihol prevrtat a chcel by som mat čo najviac zabezpečený login čo sa týka session a cookies ... 

Nahlásit jako SPAM
IP: 85.135.230.–
Codemaster0
Návštěvník
31. 10. 2016   #6
-
0
-

#4 Kit
A este dotaz. Do session premennej ukladas hashovane data ci normálne bez hashu ? Lebo neviem ako to je so session, lebo oni su ukladane na serveri, takze by sa tam nemal nikto z vonku dostat, dokym neprenikne do serveru uplne, ci ? 

Nahlásit jako SPAM
IP: 85.135.230.–
Kit+15
Guru
31. 10. 2016   #7
-
0
-

#6 Codemaster
Není co hashovat. Uživatelské jméno ani heslo se v mých session nenachází.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
31. 10. 2016   #8
-
0
-

Už mám celý register, overovanie a všetko. Ďakujem za odpoveď. Ešte to ošetriť od sql injection a xss a na chvilku pokoj.

Nahlásit jako SPAM
IP: 85.135.230.–
Kit+15
Guru
31. 10. 2016   #9
-
0
-

#8 Codemaster
Tyhle věci mívám ošetřeny už v návrhu, takže se o ně při realizaci nemusím starat.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
peter
~ Anonymní uživatel
4007 příspěvků
1. 11. 2016   #10
-
0
-

Kit - Takze mas v session nejaky hash misto jmena a hesla a mas pocit, ze je to bezpecnejsi? Ten hash pak overujes vuci hash v db nebo hash, ktery vyrobis z udaju z db pro id uzivatele? Takze je to totez, jako overovat jmeno a heslo. Jenom je to trosku zamlzene. Hackera to nijak nezmate. Prijde mi, ze vysledek tveho snazeni byl marny. Ale samozrejme pouzivam podobny postup :) Jen o tom neprohlasuji, ze je to super bezpecnejsi.

Nahlásit jako SPAM
IP: 2001:718:2601:26c:8536:4f...–
peter
~ Anonymní uživatel
4007 příspěvků
1. 11. 2016   #11
-
0
-

Samozrejme, je tu moznost, pridavat k hash take casove razitko. Tak muze byt pro kazdou stranku ten hash jiny.

Nahlásit jako SPAM
IP: 2001:718:2601:26c:8536:4f...–
Kit+15
Guru
1. 11. 2016   #12
-
0
-

#10 peter
Ne. V session nemám ani login, ani heslo. Ani žádný jejich hash.

Nahlásit jako SPAM
IP: 2a00:1028:83a0:37a6:1d94:...–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
peter
~ Anonymní uživatel
4007 příspěvků
1. 11. 2016   #13
-
0
-

Tak to by mne fakt zajimalo, jak zjistujes, zda je uzivatel prihlasen :)

Nahlásit jako SPAM
IP: 2001:718:2601:26c:8536:4f...–
Kit+15
Guru
1. 11. 2016   #14
-
0
-

#13 peter
Přece podle user_id v session. Nepřihlášený uživatel ho má nulový.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
peter
~ Anonymní uživatel
4007 příspěvků
1. 11. 2016   #15
-
0
-

Aha, takze mi staci dat do session id admina. Tipnu si, id 0-20 je asi admin. A jsem prihlaseny jako admin, jupi, jou, nemusim znat ani heslo :)

Nahlásit jako SPAM
IP: 2001:718:2601:26c:8536:4f...–
peter
~ Anonymní uživatel
4007 příspěvků
1. 11. 2016   #16
-
0
-

Vim, vim, jiste reknes, ze bezny uzivatel do session zasahovat nebude. Jenze, bezneho uzivatele  bezpecnost nezajima :)

Nahlásit jako SPAM
IP: 2001:718:2601:26c:8536:4f...–
Kit+15
Guru
1. 11. 2016   #17
-
0
-

#16 peter
Jakým způsobem hacker zapíše user_id do session?

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
peter
~ Anonymní uživatel
4007 příspěvků
1. 11. 2016   #18
-
0
-

Normalne, naboura se do prohlizece/pc a prepise cookies nebo prenos dat do pc. Jak to delali hackeri do ted s user id, name a psw? Meli o neco jednodussi zcizit session, protoze to nebylo sifrovane.
Nebo mozna mluvis o necem jinem. Ja porad premyslim nad $_COOKIES a $_SESSION. To jsou pole, kam si muzes ulozit, co chces. Obsah neni nijak zabezpeceny.

Samozrejme bych vedel spoustu jinych zpusobu, jako treba klonovat pc a uzivatel pak uz pracuje jako pres vpn tunel. A mezitim mu na pozadi provadim vlastni operace. (nebo vpn tunel mam do uzivatele ja, ale to pak by videl otevirat okna prohlizece). Pak mi na tom, co je v session nezalezi :)

Nahlásit jako SPAM
IP: 2001:718:2601:26c:8536:4f...–
peter
~ Anonymní uživatel
4007 příspěvků
1. 11. 2016   #19
-
0
-

Zkratka takovy teamviewer. zivatel rozdil nepostrehne, admin by to dokazal dohledat a asi by si i vsiml nejakych nesrovnalosti.

Nahlásit jako SPAM
IP: 2001:718:2601:26c:8536:4f...–
Kit+15
Guru
1. 11. 2016   #20
-
0
-

#18 peter
Do $_SESSION nemá uživatel jak zapsat. K tomu má oprávnění pouze skript, který běží na serveru.

Ano, cookie lze ukrást, ale u důležité aplikace použiješ HTTPS a je vymalováno.

Nahlásit jako SPAM
IP: 2a00:1028:83a0:37a6:b149:...–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #21
-
0
-

#20 Kit
Myslíš že je to tak bezpečné, Session ? 

Lebo existuje aj niečo také ako session stealing. Ukradneš ID, zapíšeš do pc a vydávaš sa za niekoho iného. Session id je fajn ale kontroloval by som to aj dalšími premennými, ako napr. Typ browseru, Ip a čokolvek čo sa len dá :)

Nahlásit jako SPAM
IP: 85.135.176.–
Kit+15
Guru
1. 11. 2016   #22
-
0
-

#21 Codemaster
Session ID je nutné zabezpečit. Například přes HTTPS. Vše ostatní jsou jen obstrukce, které se při troše šikovnosti dají překonat a přitom mohou působit problémy legálnímu uživateli. Například kontrola na IP je nesmyslná, protože IP se ti může během hodiny změnit několikrát a pokaždé by ses musel znovu přihlašovat.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #23
-
0
-

#22 Kit
Napr Browser sa namení. OS sa nemení. Krajina IPčky sa nemení ... Čím viac zhod, tym je ťažšie to obísť a samozrejme HTTPS... Čiže ochrana proti sniffu.

Nahlásit jako SPAM
IP: 85.135.176.–
Kit+15
Guru
1. 11. 2016   #24
-
0
-

#23 Codemaster
Běžně se mi vymění i 4 IP za hodinu a sem-tam mi naskočí IP z jiného státu. Fakt mě chceš obtěžovat, abych se pokaždé musel přihlašovat znovu? Navíc to nezabrání tomu, aby mi session neukradla jiná aplikace běžící v tom samém počítači.

Dobrá, budu mít pouze HTTPS, nebudu dělat kontrolu OS ani IP. Jakým postupem mi chceš ukrást session_ID nebo změnit user_ID v session?

Souhlasím, že session_ID je dobré občas vyměnit, zejména před každou změnou v datech.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #25
-
0
-

#24 Kit

Na to jedine by bolo nutné vedieť overovacie klúče, ak sa nemýlim.

Nahlásit jako SPAM
IP: 85.135.176.–
Kit+15
Guru
1. 11. 2016   #26
-
0
-

#25 Codemaster
Přesně tak. A ty klíče se každé 2 hodiny mění, výměna je šifrována a digitálně podepsána serverem.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #27
-
0
-

#26 Kit
Toto bolo httpsko... Ale teraz takto: Cookies su ukladané v temp suboroch daného prehladavača, čiže prístup k nim je otvorený. V dnešnej dobe je tých malware-ov a ostatných vírov tolko, že je to jednoduché, aby sa krátky program, napísaný v cčku prehrabal súbormi, cookies našiel, odoslal a nezanechal žiadnu viditeľnú stopu. Bežný užívateľ ani len netuší, že v pc nejaké cookies má a čo v nich je. A takto máme session ID ... krajina ipčky sa nemení. Aké by to bolo, keby ideš na stránku a zrazu ti to hodí arabčinu ?? No neprijemné, tak to nefunguje. Mení sa ip, ale krajina je zachovaná = Odfiltrovanie utoku z okolitých štátov, no problém je vnútri štátu. Kombinácia IP, Browseru, Operačneho systemu a dajme tomu rozlíšenia obrazovky ... Čosi o trošičku lepšie ... Podľa mna, čím viac unikátnych udajov je na porovnanie, tým je menšia pravdepodobnosť útoku alebo skor úspechu útoku. Ak by som všetko zveril do rúk jednomu IDčku, mohol by som prehlásiť, kto vie id ten má účet... 

Nahlásit jako SPAM
IP: 85.135.176.–
Kit+15
Guru
1. 11. 2016   #28
-
0
-

#27 Codemaster
To user_ID nikdo nemá - pouze server, který nedovolí jeho změnu.

Za podstatnou ochranu považuji hlavně HTTPS. Bez něj si můžeme na zabezpečení pouze hrát.

Aby bylo jasno: Sekundární ochranu session_id používám, i když na jiném principu.

Soubory s cookies si klientský program (např. Firefox) za běhu zamyká.

Nahlásit jako SPAM
IP: 2a00:1028:83a0:37a6:3935:...–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #29
-
0
-

#28 Kit
Áno nedovolí, lebo je v DB a bez toho aby si sa dostal na server to nejde, ovšem ak je dobre zabezpečený. Zvážim všetky ochrany, no Ďakujem za rady :) V Sessione potom už uchovávaš odhashované data nie ? Tam už je hash prakticky nanič, lebo heslo sa do sessionu nedostane. 

Nahlásit jako SPAM
IP: 85.135.176.–
Kit+15
Guru
1. 11. 2016   #30
-
0
-

#29 Codemaster
V session udržuji jen minimum dat, abych neměl duplicitu s databází. Není vlastně co hashovat, jsou tam jen věci, které se týkají aktuálního spojení a nic víc. V podstatě jen user_id a nějaké chybové hlášky, které je nutné si pamatovat i po reloadu stránky.

Nahlásit jako SPAM
IP: 2a00:1028:83a0:37a6:3935:...–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #31
-
0
-

#30 Kit
Ďakujem, ešte prerobím celý systém 

Nahlásit jako SPAM
IP: 85.135.176.–
Codemaster0
Návštěvník
1. 11. 2016   #32
-
0
-

#30 Kit
A ešte jednu vec, prečo nedať do Session premenné ako email a pod ... ktoré niesu citlivé ?

Nahlásit jako SPAM
IP: 85.135.176.–
Kit+15
Guru
1. 11. 2016   #33
-
0
-

#32 Codemaster
Protože tyto údaje mám v databázi a duplicita by byla zbytečná.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #34
-
0
-

#33 Kit
Zbytočné zaťažovanie databáze či ? Inak Session drží server v suboroch alebo v RAMke ? 

Nahlásit jako SPAM
IP: 85.135.176.–
Kit+15
Guru
1. 11. 2016   #35
-
0
-

#34 Codemaster
Stejně si musím do té databáze sáhnout pro data. Není problém poslat jeden dotaz navíc. Také se může stát, že se mezitím data v databázi změní a v session by najednou byla špinavá. Než řešit takové kolize, tak je jednodušší poslat jeden DB dotaz navíc. Kromě toho tyto údaje potřebuji jen výjimečně nebo se svezou jako další sloupce v nějakém DB dotazu.

Představ si, že bych nějakému hráči dal ban a on by mohl hrát, dokud mu nevyprší session. Trochu blbé, ne?

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Codemaster0
Návštěvník
1. 11. 2016   #36
-
0
-

#35 Kit

To je pravda. Ja tam storujem len meno piezvysko, email a id ... Tieto data sa nemenia a nemusím robiť requesty Samozrejme pri tvojom prípade je to očividné že treba načítavať real-time údaje.

Nahlásit jako SPAM
IP: 85.135.176.–
peter
~ Anonymní uživatel
4007 příspěvků
2. 11. 2016   #37
-
0
-

Jj, to jsem presne chtel rici. Pokud nedokazes zabezpecit data, prenos, tak dalsi pokus o zabezpeceni je zbytecny. Jedno, zda je tam id nebo jiny identifikator uzivatele. Ale zrovna id mi neprijde jako bezpecne. Urcite bych tam pridal jeste hash z hesla, treba jen 3 znaky. Id, jako cislo, lze snadno zmenit na jine id, treba admina. Ale tipnout si jeho hash uz tak snadne neni.

Zamykani prohlizece je jen zesilena ochrana, ale kdyz ti program naboura prohlizec, tak muze prepisovat cookies na pozadi. Zmeni to idecko a prehlasi se na admina pro stejnou session_id. Takze dalsi zabezpeceni z toho plyne, ulozit si nekde session id do db pri prihlaseni.
Nebo muze pripadne pracovat se stejnou session a neco tam uzivateli menit. Nebal bych se tvrdit, ze podezrele programy jsou treba AdBlock, ikdyz taky pouzivam. Klidne to muze mit pod kontrolou CIA.

Ja mel za to, ze COOKIES jsou provazane se SESSION. Vim, ze to jde nejak rozvazat, ale vetsinou je to stale zaple. Takze, kdyz v prohlizeci zmenis cookies, coz umi i javascript, tak se pri odesilani odeslou nove cookies na server a doplni do session.

Nahlásit jako SPAM
IP: 2001:718:2601:26c:b43e:90...–
Kit+15
Guru
2. 11. 2016   #38
-
0
-

#37 peter
Vysvětli mi, jak se vyměňuje user_id v session.

Nahlásit jako SPAM
IP: 194.228.13.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
peter
~ Anonymní uživatel
4007 příspěvků
2. 11. 2016   #39
-
0
-

To bych musel zkusit. Dosud jsem nikdy nemel potrebu menit session pres cookies.

Nahlásit jako SPAM
IP: 2001:718:2601:26c:b43e:90...–
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 7 hostů

Podobná vlákna

Cookies — založil Mirek Braho

Cookies — založil Marty_SVK

Cookies — založil Pepa Rohlik

Cookies — založil tomi86

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý