[PHP] jak nejbezpecneji authnout

[Titan]

Zdravím, chtěl bych se zeptat jaký je podle Vás nejbezpečenější AUTHnutí. Dost dlouho jsem to dělal tak že se uživatel lognul, stránka mu uložila meno a heslo do cookies - heslo v plaintextu. A pak při dalším přístupu na stránku se jen heslo pomocí md5(); zhasovalo a porovnalo s hashem v mysql DB. Ovšem nezdá se mi to jako nejbezpečnější...

[..::Ozzy::..]

HTTPS

[Titan]

no jasne proc ne port 443 se tam hodi, ale me spis slo o to jak to udelat v PHP. jestli pomoci sessions nebo cookies nebo jak...

[..::Ozzy::..]

session je jednoduchá, ale cookies jsou podle mě plně dostačující
můžeš udělat kombinaci session a cookies což si myslim že by bylo
mnohem robustnější protože někdo má cookies zapnutné a někdo ne

[PiT]

1) https
2) sessions staci
3) do session (cookie) neukladat v ziadnom pripade heslo ale hash
4) hash musi byt nejaky tebou vytvoreny kluc, ktory musi obsahovat meno, heslo a minimalne este IP adresu a zlozku, ktora sa pri kazdom prihlaseni meni - napr. cas prihlasenia (ten ukladat do DB), aby ani v pripade slohnutia samotneho HASHu - nebol pre ineho cloveka pouzitelny, resp. jeho pouzitie bolo co mozno najviac obmedzene

..::Ozzy::..:

Nemas tak trochu brutal hrubice v tom podpise?

[..::Ozzy::..]

Nemas tak trochu brutal hrubice v tom podpise?

[kecinzer]

Já jsem vyřešil přihlašování pomocí MySQL SDB tak, že jsem udělal tabulku, kde se nacházejí přihlášení uživatelé.

Když se uživatel přihlásí, tak se mu z hesla, jména a času vytvoří MD5 hash, který se společně s user id, IP, časem poslední aktivity atd. uloží do té tabulky.

V adrese se potom vyskytuje "HID=sdfsd564fsds...", pomocí kterého a také IP adresy se přiřazují uživateli práva a ostatní informace právě tím že se podívm do téhle tabulky.

Když uživatel pošle adresu s jeho hashem někomu jinému, tak se nic neděje, protože je to právě hlidané ještě IP adresou.

Myslím že je to takhle dost bezpečné a není třeba zapínat cookies.

[..::Ozzy::..]

a co proxy?

[kecinzer]

a co proxy?

Co má být s proxy?

[..::Ozzy::..]

když je víc lidí za proxy a jeden z nich se přihlási.. Provedou se tebou zmiňované procedury a ty ostaní co jsou za stejnou proxynou jsou nahrany...

protože jak určitě víš tak lidi za proxy k internetu přistupujou přes jednu IP adresu

[kecinzer]

když je víc lidí za proxy a jeden z nich se přihlási.. Provedou se tebou zmiňované procedury a ty ostaní co jsou za stejnou proxynou jsou nahrany...

protože jak určitě víš tak lidi za proxy k internetu přistupujou přes jednu IP adresu

Samozřejmě zjišťuji celou IP adresu, tedy i za proxy .
Ono totiž v PHP existuje superglobální proměnná $_SERVER['HTTP_X_FORWARDED_FOR'], která ukáže IP za proxynou

A i kdyby neexistovala takováto proměnná, tak by to samozřemě fungovalo. Jen s tím rozdílem, že by pro tyto uživatele za stejnou proxy nefungovala vzájemná ochrana. Tzn. že kdyby si mezi sebou poslali adresu i s hashem, tak by je to pustilo.

[jedik]

Ono totiž v PHP existuje superglobální proměnná $_SERVER['HTTP_X_FORWARDED_FOR'], která ukáže IP za proxynou

Jen bych upozornil ze tu stejne velka cast proxin neposila neb to neni povinnosti

[Aigor]

Ja to resim stejne jako kecinzer, jen s tim rozdilem ze session obsahuje casove razitko a periodicky se obmenuje. Pokud uzivatel nerefreshne stranku do urcite doby, odhlasi ho to. Castecne je to ochrana i proti slohnuti cookies.
A nejlip samozrejme zkombinovat s HTTPS

[ripper]

jen s tim ukladanim IP pripadne slozek, ktery se nemeni (casto se treba uklada user agent), problem jsou zminovane proxy - 2 pozadavky od stejnyho uzivatele totiz muzou prijit s ruznymi adresami/user agenty/cimkoliv jinym, hlavne treba u dial-upu.
ja to resim checkboxem, kterej kdyz je zatrzenej, hlida se IP a user agent, jinak ne. implicitne je zaskrtlej s tim, ze kdyz ma nekdo problemy s pripojenim, odkazu ho, at vypne tuhle kontrolu