Xpoint
   [напомнить пароль]

Как сделать проверку аутентификации?

Метки: [без меток]
2011-12-16 03:28:04 [обр] Сергей[досье]
В общем то простой вопрос я думаю для многих, но я первый раз пишу ее сам, поэтому возникли некоторые вопросы...
Делается все на сессиях, пользователь вводит логин и пароль и если он верный то я должен создать куки с каким то индификатором, по которому потом и будет проходить проверка, что это и правда тот самый пользователь. Но вот как это сделать? То есть что там можно использовать, чтобы быть уверенным что это и правда он?
спустя 1 минуту [обр] Сергей[досье]
Может я не до конца понимаю как сессии работают и ничего подменить нельзя... но объясните пожайлуста, как организовать этот процесс?
спустя 6 часов [обр] Thirteensmay(17/157)[досье]
Вам нужно сгенерировать какойнить уникальный идентификатор, например UUID, или на основе текущего времени + случайное число, никакой информации о пользователе в этот идентификатор не зашивать. В момент когда пользователь ввел логин/пароль проверить их, и если они верные то сгенерировать идентификатор, отдать его пользователю (установить ему куку), и сохранить его себе на сервере, вместе с информацией о соответствии что такой-то идентификатор соответствует такому то пользователю. При последующих запросах пользователя проверять этот куковый идентификатор по своей информации о соответствиях и определять какой это пользователь.
спустя 6 часов [обр] Сергей[досье]

А вот тут я как раз понять не могу, если я просто эту куку подставлю на другом ПК, я ведь вроде никак не отличу что это он? я уже голову поломал, но я скрипты писал в основном другого плана, где безопаность не моя проблема или вообще нет в этом необходимости т.к. все свои и тут теперь просто в замешательстве((

Спасибо, сам механизм я понял...

спустя 2 часа 45 минут [обр] Thirteensmay(17/157)[досье]
Да, если подставите то никак не отличите, точно так же как если например злоумышленник сделает дубликат ключей от вашей квартиры, или дубликат вашего паспорта, пользователь должен оберегать свои куки. Конечно можно использовать некоторые дополнительные средства, но они накладывают свои ограничения, и в конечном счете тоже могут быть обойдены, идеальной защиты не бывает.
спустя 28 минут [обр] Сергей[досье]
Вы про IP и еще какие то дополнительные проверки? Нет разговора о том, чтобы сделать идеальную защиту нет конечно... но пользователя который оберегает куки, если часто не знает что это такое представить сложно... Я про то, чтобы усложнить жизнь и попытку взлома, но вот IP например использовать не выйдет, все время он меняется... Но в целом мысль понятна, спасибо)
спустя 35 минут [обр] Евгений Седов aka KPbIC(7/176)[досье]
Сергей[досье] Попробуйте, например, получить мои куки на Точке. Что у вас за задача?
спустя 30 минут [обр] Сергей[досье]
Задача обойти защиту если она есть и там возможно как то эти куки можно получить - но тут я мало понимаю или обманом получить эти самые куки, подсунув пользователю червяка под видом чего-то интересного
спустя 28 минут [обр] Thirteensmay(17/157)[досье]
Усложнить взлом можно достаточно сильно, за счет например установки плагинов к браузеру, HTTPS и т.п, но при этом вы одновременно усложняете жизнь пользователю, в результате может оказаться что отдельные факты взлома будут сущим пустяком по сравнению с потерей аудитории из за сложностей с защитой. Сама идея веба в этом случае теряется, разработайте тогда отдельную сетевую программу, навешайте на нее защит и будет вам счастье. В вебе же есть только куки, и они в принципе обеспечивают достаточный уровень защиты, в связке с HTTPS, на этой основе работают банки и пр. очень серьезные организации, так что вполне возможно вас просто накрывает паранойя ;)
спустя 3 минуты [обр] Сергей[досье]
Возможно :) Если уж банки работают на такой связке, то я думаю не стоит туда лезть, тем более что в простом виде без https я уже написал и вполне нормально работает...
спустя 2 часа 31 минуту [обр] Евгений Седов aka KPbIC(7/176)[досье]

Сергей[досье] Ну, подсуньте мне червяка. Хоть жучка, хоть паучка. Я разрешаю. Главное, получите мою куку.

Кстати, куки можно на каждом заходе менять, как это сделано на xpoint.ru сейчас, или как здесь.

Powered by POEM™ Engine Copyright © 2002-2005