GoldenLine
Zaloguj się
Jakub Rajchowiak

Jakub Rajchowiak właściciel,
Rajchowiak.com

Temat: logika logowania

Witajcie,

moze i banalne i powtarzajace sie zapewne ale jakie macie mechanizmy bezpiecznego logowania.

Ja obecnie korzystam z sesji i cookies i porownuje je czy sie wszystko zgadza. Ale nie wiem czy jest to bezpieczne. Ciekawilyby mnie takze jakies zrodla dotyczace tej tematyki.

z gory dzieki wszystkim za jakies zlote mysli:)
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Mozesz do tego jeszce dodac odswierzanie sesji co kilka ruchow uzytkownika, albo kazac mu sie ponownie zalogowac przed wykonaniem jakiejs krytycznej czynnosci (zmianna podstawowych danych konta).
Rob session_destroy jak sie uzytkownik wyloguje - staraj sie ich zachecac do wylogowania w taki sposob, bo dzieki temu masz pewnosc ze server skasowal sesje.

Pamietaj ze cookie mozna spreparowac, a sesje mozna przechwycic ;)Andrzej Winnicki edytował(a) ten post dnia 25.09.10 o godzinie 23:08
Link do wypowiedziLink
Jakub Rajchowiak

Jakub Rajchowiak właściciel,
Rajchowiak.com

Temat: logika logowania

wlasnie jestem zielony jesli chodzi o takie rzeczy jak wykradanie sesji itd. Wiem ze jest to tylko mozliwe.

Wiec porownywanie sesji i cookie nie jest do konca bezpieczne? lepiej przechowywac w bazie identyfikatory osob zalogowanych z jakims hashem, ktory tez jest w cookie? lub cos w tym stylu?
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Napewno nie trzymac w cookie nic co nie jest zaszyfrowane, a juz napewno nie haslo czy nazwa uzytkownika. Mozesz trzymac numer sesji, ale w formie zakodowanej i nie uzywaj tego jako "wyroczni" :) Mozesz uzywac zakodowanego tokena, ktory bedziesz sprawdzal z wpisem w bazie danych i porownywal z danymi sesji...
Sesje odswierzaj co kilka dzialan uzytkownika, dzieki temu trudniej bedzie ja przechwycic. Cookie moze zostac w 100% spreparowane przez uzytkownika - tak samo jak wszystkie dane wchodzace z formularzy itd, wiec musisz miec pelna validacje po stronie servera (php na przyklad).
Dodatkowo mozesz w sesji zapisac sobie IP uzytkownika ktory sie zalogowal i bo wiesz ze jest mala szansa by ktos zmienil IP w trakcie uzytkowania strony.
Jesli mozesz staraj sie nie uzywac opcji "zapamietaj mnie", aczkolwie bedzie to mialo negatywny wplyw na usability.
Jesli porownujesz cookie do sesji, miej pewnosc ze jesli cos sie tylko nie zgadza, detroy_session i wymagaj ponownego zalogowania.

Generalnie sprawa jest prosta - nie mozesz ufac ZADNYM informacja ktore przychodza od uzytkownika. cookie, ip, headery, wszystko moze zostac spreparowane.

Jak to ktos kiedys powiedzial: Nie wazne jak wiele zrobisz by zabezpieczyc strone, to zawsze bedzie za malo :)
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Mój prywatny - nie mam pojęcia czy dostatecznie dobry - patent:
- po zalogowaniu - id sesji jest zmieniany
- w sesji są następujące rzeczy: id usera, ip, hostKey i authKey, gdzie hostKey to przetrawiony host na jaki się logował, authKey - generowany klucz autoryzacji
- każdorazowo, przy każdym logowaniu - klucz autoryzacji jest zmieniany
- w ciasteczku jest przechowywany id i powyższy kluczyk

By ktoś skorzystał z "zapamiętaj mnie", id, kluczyk muszą się zgadzać z tym w bazie, dodatkowo rekord w bazie musi mieć flagę by zezwalał na klucz.

Ergo - wychodzę z podobnego założenia co Andrzej, to tylko kwestia czasu aż ktoś przejdzie zabezpieczenia.
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

a, prócz tego co napisaliście, warto trzymać w sesji ip i badać, czy aby przypadkiem się nie zmieniło i wtedy wylogowywać?

edit: ano tak - michał tak robi... :)Peter K. edytował(a) ten post dnia 26.09.10 o godzinie 12:41
Link do wypowiedziLink
Jakub L.

Jakub L. Programista

Temat: logika logowania

Peter K.:
a, prócz tego co napisaliście, warto trzymać w sesji ip i badać, czy aby przypadkiem się nie zmieniło i wtedy wylogowywać?

Proxy z wieloma interfejsami wyjściowymi albo zmienne IP z Neo czy coś takiego czyni to rozwiązanie dość denerwującym.
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Jakub L.:
Peter K.:
a, prócz tego co napisaliście, warto trzymać w sesji ip i badać, czy aby przypadkiem się nie zmieniło i wtedy wylogowywać?

Proxy z wieloma interfejsami wyjściowymi albo zmienne IP z Neo czy coś takiego czyni to rozwiązanie dość denerwującym.
coś za coś, albo bezpieczeństwo albo wygoda. proxy? ktoś świadomie to wykorzystuje, więc pewnie też wie o konieczności ciągłego logowania.

w neo ip zmienia się co jakiś czas z tego co pamiętam? więc co kilkanaście minut kolejne logowanie nikomu nie powinno przeszkadzać...

co do zabezpieczeń, można też wylogowywać usera po kilkunastu minutach bezczynności (ustawiać czas życia cookies/sesji)
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

IP w neostradzie zmienia się przy każdym połączeniu, nie podczas pracy - więc dla mnie to nie jest problem.
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Michał Wachowski:
IP w neostradzie zmienia się przy każdym połączeniu, nie podczas pracy - więc dla mnie to nie jest problem.

Niektórzy rebootują raz na dobę, więc to też nie problem, a zabezpieczenie ze sprawdzaniem ip chyba jak znalazł.
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Peter K.:
Michał Wachowski:
IP w neostradzie zmienia się przy każdym połączeniu, nie podczas pracy - więc dla mnie to nie jest problem.

Niektórzy rebootują raz na dobę, więc to też nie problem, a zabezpieczenie ze sprawdzaniem ip chyba jak znalazł.

a jak masz akademik umieszczony w sieci prywatnej z kalsą 192.168.x.x ? to co wtedy?
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Przemysław R.:
a jak masz akademik umieszczony w sieci prywatnej z kalsą 192.168.x.x ? to co wtedy?

Server docelowy bedzie widzial Twoje zewnetrzne IP, a nie sieci wewnetrznej.
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Andrzej Winnicki:
Przemysław R.:
a jak masz akademik umieszczony w sieci prywatnej z kalsą 192.168.x.x ? to co wtedy?

Server docelowy bedzie widzial Twoje zewnetrzne IP, a nie sieci wewnetrznej.

to jaki jest sens sprawdzać po ip?
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Przemysław R.:
to jaki jest sens sprawdzać po ip?

Taki ze jak jestes zalogowany, to IP Ci sie nie zmieni z sekundy na sekunde.
Wiec sprawdzasz po IP, ktore jest jednym z kilku elementow sprawdzania czy dany uzytkownik jest tym, za kogo sie podaje.
Jesli cokolwiek nie pasuje - wylogowanie, usuniecie sesji, cookie i wszystkiego co jest powiazane.

Tak, potencjalnie ktos z tego samego akademika bedzie mial ulatwiona sprawe, bo beda dzielic to samo IP zewnetrzne. Ale dlatego z pomoca dochodzi dodatkowe ustawianie klucza, odswierzanie sesji i dodatkowa weryfikacja
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Zależy jak wysoki poziom bezpieczeństwa potrzebujemy dla naszej strony. Możemy sprawdzać nie tylko samo IP, ale także mnóstwo innych danych o komputerze/przeglądarce odwiedzającego i przy istotniejszych zmianach kazać powtórnie się logować (np. jeśli nagle user nie zmieni IP, ale zmieni numer wersji przeglądarki czy coś innego). Gdzieś kiedyś widziałem skrypt, który wyciąga unikalny numer usera na podstawie preferencji sprzętowych, który mógłby tutaj okazać się pomocny.
Link do wypowiedziLink
Jakub L.

Jakub L. Programista

Temat: logika logowania

Kamil Brenk:
Jakub L.:
Peter K.:
a, prócz tego co napisaliście, warto trzymać w sesji ip i badać, czy aby przypadkiem się nie zmieniło i wtedy wylogowywać?

Proxy z wieloma interfejsami wyjściowymi albo zmienne IP z Neo czy coś takiego czyni to rozwiązanie dość denerwującym.
coś za coś, albo bezpieczeństwo albo wygoda. proxy? ktoś świadomie to wykorzystuje, więc pewnie też wie o konieczności ciągłego logowania.

Sieć komórkowa z wewnętrzną adresacją.
Sieci wifi umożliwiające handover.
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Przemysław R.:
a jak masz akademik umieszczony w sieci prywatnej z kalsą 192.168.x.x ? to co wtedy?

Nie robię serwisów dla studentów :P

A na poważnie, to nic. Wyjątek od reguły. Nic się złego nie dzieje.
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Peter K.:
Przemysław R.:
a jak masz akademik umieszczony w sieci prywatnej z kalsą 192.168.x.x ? to co wtedy?

Nie robię serwisów dla studentów :P

A na poważnie, to nic. Wyjątek od reguły. Nic się złego nie dzieje.

jaka byłem na studiach to wkurzałem się strasznie jak nie mogłem skorzystać z tego czy tamtego serwisu bo jakiś pacan dał blokadę na jedno zalogowanie z IP

tego typu zabezpieczenie jest durne do kwadratu i utrudnia tylko użytkowanie a nie hakowanie
Link do wypowiedziLink

konto usunięte

Temat: logika logowania

Przemysław R.:
jaka byłem na studiach to wkurzałem się strasznie jak nie mogłem skorzystać z tego czy tamtego serwisu bo jakiś pacan dał blokadę na jedno zalogowanie z IP

Nie, nie o to mi chodzi. Żadnych limitów. Sesja zostaje odpalona jak sesja. Odkładam ip, gdyby ktoś ją chwycił i chciał się łączyć skądinąd - wtedy zrywam.
Link do wypowiedziLink
Wojciech Soczyński

Wojciech Soczyński Programista
eksplorator -
blog.wsoczynski.pl

Temat: logika logowania

Jest taki projekt który researchuje taką metodę identyfikacji, która się nazywa browser fingerprinting. Okazuje się , że każdy z nas ma unikalne ustawienia przeglądarki itp rzeczy i po tym można identyfikować jednoznacznie użytkowników. Mogło by to być fajne uzupełnienie dla ciastek albo nawet ich zastępnik...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj