Защита кода Php - Свободное общение - Страница 3

Виталий Желтяков · 17.07.2010, 22:25

- Двойные сессии надо блокировать при авторизации - если пользователь он-лайн, то авторизация запрещена.
- Клонов запрещать не надо, надо лишь за ними следить и убивать злобных нарушителей.
- IP блокировать можно фаерволом или через тот же .htaccess. Такие действия лучше делать вручную.
- Да, плохой человек может поменять ip, но если мы соблюдаем вышеперечисленные правила, то скорее всего он зае****ся в начале пути, а в некоторых случая (при правильной организации защиты) вообще ничего сделать не сможет.

Shyt · 18.07.2010, 21:03

Виталий Желтяков, Я сегодня пробовал редактировать сессию и оказывается это крах, она так легко редактируется вообще ужас.
Против этого есть борьба.?.

У меня было построено всё на том что когда человек проходит авторизацию его ник сохраняется в сессию, и переходя из страницы на страницу сессия работала как идентификатором. А сегодня решив разрушить свои опасения и попробовать по редактировать сессию так оказалось я запросто могу менять пользователей (позорно в защите я ноль )

Большое спасибо за компанию..

Виталий Желтяков · 18.07.2010, 21:51

Значит авторизацию сделали неправильно. Как Вы вообще редактировали сессию?

Лучше использовать следующую схему:
- При первой авторизации ставим куки пользователю: логин и хэшированный пароль по необратимому алгоритму + автоматически ставиться кук сессии.
- При первом подключении к странице должен происходить процесс инициализации во время, которого происходит проверка кук.
- Если при авторизации у пользователя проверяем куки с правильными паролями, то авторизуем, иначе рубим сессию и куки. Т.е. процесса авторизации как такового нет. Если куки плохие или их нет, то показываем страницу авторизации.

Если, что-то не понятно,то лучше приведите примеры своих скриптов.

Shyt · 19.07.2010, 07:58

Цитата:

Как Вы вообще редактировали сессию?

Я точно не понял, а редактировал Сессию в блокноте, вот что написано в сессии все понятно и просто name|s:4:"Shyt"
Только я вроде маленько заработался (т.к программирования это не моя настоящая работа это просто для души ) и запамятовал что сессий хранятся не на компьютере а на сервере в определенной папке примерно Temp (временные файлы).

А по правде признаться Ваша авторизация жесть на врядтле в скором будущем я такое смогу написать

(подскажи что полезно почитать что б найти хоть что то похожее и полезное подчеркнуть)

Виталий Желтяков · 19.07.2010, 19:16

В простой авторизации нет ничего сложного. Смотрите приведенный выше алгоритм.

Shyt · 20.07.2010, 09:43

Простую то я написал

.

Виталий Желтяков, Написано что Сессии хранятся на сервере в папке temp и что она легко доступна всем и они предлагают сменить место хранения сессии от этого толк будет???

Виталий Желтяков · 20.07.2010, 21:56

Она доступна всем кто имеет доступ к серверу. Это несколько другой уровень защиты.
Да, желательно поменять месторасположение каталога сессий на свой и установить свои правила доступа на этот каталог. Так как если сервер взломают, то взломщик может получить доступ к папке temp. Свои права доступа осложняют взломщику задачу.
Если у Вас нормальный хостинг с защитой, то особо об этом беспокоится не стоит.

Shyt · 31.07.2010, 10:13

Виталий Желтяков, Спасибо большое..

20.07.2010, 21:56	#27
Виталий Желтяков Старожил Регистрация: 19.04.2010 Сообщений: 2,702	Она доступна всем кто имеет доступ к серверу. Это несколько другой уровень защиты. Да, желательно поменять месторасположение каталога сессий на свой и установить свои правила доступа на этот каталог. Так как если сервер взломают, то взломщик может получить доступ к папке temp. Свои права доступа осложняют взломщику задачу. Если у Вас нормальный хостинг с защитой, то особо об этом беспокоится не стоит. Последний раз редактировалось Виталий Желтяков; 20.07.2010 в 21:59.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Защита кода книги в html	Design	HTML и CSS	12	25.11.2014 10:44
Защита кода	GvR	Общие вопросы Delphi	7	17.11.2009 03:08
Защита кода	-=L.Morgan=-	Общие вопросы Delphi	4	29.06.2009 13:10
защита кода С++	Ceprey	Общие вопросы C/C++	3	25.03.2008 22:09
Защита участков кода	BlackOmen	Общие вопросы Delphi	5	12.03.2008 08:59

17.07.2010, 22:25	#21
Виталий Желтяков Старожил Регистрация: 19.04.2010 Сообщений: 2,702	- Двойные сессии надо блокировать при авторизации - если пользователь он-лайн, то авторизация запрещена. - Клонов запрещать не надо, надо лишь за ними следить и убивать злобных нарушителей. - IP блокировать можно фаерволом или через тот же .htaccess. Такие действия лучше делать вручную. - Да, плохой человек может поменять ip, но если мы соблюдаем вышеперечисленные правила, то скорее всего он зае****ся в начале пути, а в некоторых случая (при правильной организации защиты) вообще ничего сделать не сможет.

18.07.2010, 21:03	#22
Shyt Пользователь Регистрация: 06.10.2009 Сообщений: 83	Виталий Желтяков, Я сегодня пробовал редактировать сессию и оказывается это крах, она так легко редактируется вообще ужас. Против этого есть борьба.?. У меня было построено всё на том что когда человек проходит авторизацию его ник сохраняется в сессию, и переходя из страницы на страницу сессия работала как идентификатором. А сегодня решив разрушить свои опасения и попробовать по редактировать сессию так оказалось я запросто могу менять пользователей (позорно в защите я ноль ) Большое спасибо за компанию..

18.07.2010, 21:51	#23
Виталий Желтяков Старожил Регистрация: 19.04.2010 Сообщений: 2,702	Значит авторизацию сделали неправильно. Как Вы вообще редактировали сессию? Лучше использовать следующую схему: - При первой авторизации ставим куки пользователю: логин и хэшированный пароль по необратимому алгоритму + автоматически ставиться кук сессии. - При первом подключении к странице должен происходить процесс инициализации во время, которого происходит проверка кук. - Если при авторизации у пользователя проверяем куки с правильными паролями, то авторизуем, иначе рубим сессию и куки. Т.е. процесса авторизации как такового нет. Если куки плохие или их нет, то показываем страницу авторизации. Если, что-то не понятно,то лучше приведите примеры своих скриптов.

19.07.2010, 19:16	#25
Виталий Желтяков Старожил Регистрация: 19.04.2010 Сообщений: 2,702	В простой авторизации нет ничего сложного. Смотрите приведенный выше алгоритм.

20.07.2010, 09:43	#26
Shyt Пользователь Регистрация: 06.10.2009 Сообщений: 83	Простую то я написал . Виталий Желтяков, Написано что Сессии хранятся на сервере в папке temp и что она легко доступна всем и они предлагают сменить место хранения сессии от этого толк будет???

31.07.2010, 10:13	#28
Shyt Пользователь Регистрация: 06.10.2009 Сообщений: 83	Виталий Желтяков, Спасибо большое..