Авторизация пользователей

[mv28jam]

Цитата:

Сообщение от slips

А подделать IP реально ?

Очень долго писать по сути простую вещь, поэтому чтобы я не мучался и вам было понятней - этот вопрос очень похож на
"А реально ли слетать на луну?"

[slips]

Я вас понял . Ну а вообщем на луну реально слетать только денежек надо бы заработать.

[slips]

Вообщем большое спасибо

[Arigato]

Цитата:

Сообщение от slips

Это понятно что серверные скрипты, я говорю про то каким образом:
1.Сессиями ?
2.Куками ?

Идентичные методы.
Как было сказано, в код сессии надо записывать имя браузера и ip-адрес, можно записывать не 4 компоненты, а 3, тогда, если последняя цифра меняется, сессия будет сохраняться (для тех, у кого ip динамический).
Так же при авторизации пароль на сторону сервера нужно передавать не в открытом виде, а, например, в виде md5-хэша, который можно получить, используя JS.

[slips]

А если ещё помимо создания сесии определять константу уникальную для это сесии?
типа

PHP код:

   if (!defined("'".session_id())."'")
     define("'".session_id()."'",session_id(), TRUE); 


[slips]

Видимо глупо ну да ладно всё равно спасибо.

Замечание модератора: Используйте кнопку Правка вместо несколько идущих подряд сообщений. А то так по мелочи не долго и до бана набрать.

[13th]

Цитата:

Сообщение от mv28jam

Проверять ip адрес, записав его в сессию при авторизации.
Можно ещё проверять тип браузера и опер системы ("HTTP_USER_AGENT"), у одного пользователя не смениться, а вот хакеру ещё узнать надо чем пользовался тот, у кого он id украл.

А как интерсно воруют сессии?)))
вот именно точно так же можно и взять идентификатор браузера)))))

По мне лучше писать уникальную сессию каждый раз , записывать её в базу , потом отсчитывать нннное количество времени, с которого начинается "подозрительный" этап ( ооо пошел приход мысли)))) и предлагать пользователю ввести его антиподозрительное слово , которое он задет после первой удачной авторизации, и если пользователь не вводит свое слово до истечения подозрительного периода - то полная аннуляция его сессий и превращение егог в гостя , а если водит, то переписываем ссесию и все сначала))). Геморно?)) конечно, но точно взломать не реально

[Arigato]

13th
С добавлением в код сессии идентификатора браузера и, тем более, ip, проблем не должно возникать, сворованный код сессии на другой машине будет не работоспособным.
Механизм образно можно представить так:
$sid - код сессии (хранится в БД), при желании это может быть и md5 ($password)
$user_agent - браузер юзера
$remote_addr - его ip-адрес
Тогда в куки можно записывать такой код:
md5 ($sid . $user_agent . $remote_addr)

При желании туда можно добавить ещё дополнительные параметры, например, разрешение экрана, часовой пояс и т.п., считав их при помощи JS. Но можно и без этого.

[mv28jam]

Цитата:

Сообщение от 13th

потом отсчитывать нннное количество времени ... если пользователь не вводит свое слово до истечения подозрительного периода

Хакер может работать одновременно с пользователем и просто подождать пока он("честный" юзер) введёт слово и дальше работать.

Если использовать подход с "множественным" вводом паролей, то желательно генерить группу паролей заранее и при каждой операции вводить пароль, который потребует система - так работают многие банковские системы.

[13th]

фича в том, Джем, что если хакер работает с "жертвой")) , то никакие наши ухищрения не помогут