|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
11.01.2010, 16:07 | #11 |
Старожил
Регистрация: 09.09.2008
Сообщений: 2,624
|
Очень долго писать по сути простую вещь, поэтому чтобы я не мучался и вам было понятней - этот вопрос очень похож на
"А реально ли слетать на луну?"
Стрелок-охотник
|
11.01.2010, 16:23 | #12 |
Форумчанин
Регистрация: 28.10.2008
Сообщений: 350
|
Я вас понял . Ну а вообщем на луну реально слетать только денежек надо бы заработать.
|
11.01.2010, 16:26 | #13 |
Форумчанин
Регистрация: 28.10.2008
Сообщений: 350
|
Вообщем большое спасибо
|
11.01.2010, 16:28 | #14 | |
Высокая репутация
СуперМодератор
Регистрация: 27.07.2008
Сообщений: 15,551
|
Цитата:
Как было сказано, в код сессии надо записывать имя браузера и ip-адрес, можно записывать не 4 компоненты, а 3, тогда, если последняя цифра меняется, сессия будет сохраняться (для тех, у кого ip динамический). Так же при авторизации пароль на сторону сервера нужно передавать не в открытом виде, а, например, в виде md5-хэша, который можно получить, используя JS. E-Mail: arigato.freelance@gmail.com
|
|
11.01.2010, 16:54 | #15 |
Форумчанин
Регистрация: 28.10.2008
Сообщений: 350
|
А если ещё помимо создания сесии определять константу уникальную для это сесии?
типа PHP код:
|
11.01.2010, 16:56 | #16 |
Форумчанин
Регистрация: 28.10.2008
Сообщений: 350
|
Видимо глупо ну да ладно всё равно спасибо.
Замечание модератора: Используйте кнопку Правка вместо несколько идущих подряд сообщений. А то так по мелочи не долго и до бана набрать. Последний раз редактировалось Arigato; 11.01.2010 в 17:04. |
12.01.2010, 01:39 | #17 | |
Форумчанин
Регистрация: 31.12.2008
Сообщений: 634
|
Цитата:
вот именно точно так же можно и взять идентификатор браузера))))) По мне лучше писать уникальную сессию каждый раз , записывать её в базу , потом отсчитывать нннное количество времени, с которого начинается "подозрительный" этап ( ооо пошел приход мысли)))) и предлагать пользователю ввести его антиподозрительное слово , которое он задет после первой удачной авторизации, и если пользователь не вводит свое слово до истечения подозрительного периода - то полная аннуляция его сессий и превращение егог в гостя , а если водит, то переписываем ссесию и все сначала))). Геморно?)) конечно, но точно взломать не реально |
|
12.01.2010, 02:17 | #18 |
Высокая репутация
СуперМодератор
Регистрация: 27.07.2008
Сообщений: 15,551
|
13th
С добавлением в код сессии идентификатора браузера и, тем более, ip, проблем не должно возникать, сворованный код сессии на другой машине будет не работоспособным. Механизм образно можно представить так: $sid - код сессии (хранится в БД), при желании это может быть и md5 ($password) $user_agent - браузер юзера $remote_addr - его ip-адрес Тогда в куки можно записывать такой код: md5 ($sid . $user_agent . $remote_addr) При желании туда можно добавить ещё дополнительные параметры, например, разрешение экрана, часовой пояс и т.п., считав их при помощи JS. Но можно и без этого. E-Mail: arigato.freelance@gmail.com
|
12.01.2010, 12:40 | #19 | |
Старожил
Регистрация: 09.09.2008
Сообщений: 2,624
|
Цитата:
Если использовать подход с "множественным" вводом паролей, то желательно генерить группу паролей заранее и при каждой операции вводить пароль, который потребует система - так работают многие банковские системы.
Стрелок-охотник
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Авторизация пользователей | Yoga | Помощь студентам | 9 | 25.11.2009 19:02 |
Выбор пользователей | Bat{CMD}_Men | Общие вопросы Delphi | 1 | 01.09.2009 09:12 |
Авторизация пользователей | Айвенго | Microsoft Office Access | 2 | 28.05.2009 10:55 |
Регистрация/авторизация пользователей при помощи PHP, без использования MySQL. | Web-Gangsta | PHP | 30 | 03.05.2009 18:32 |