Прочие движки | Риторический вопрос! Высшим умам!
Ivanrosu 
nadgobonom Добрыня (08.05.2019 в 21:28)
Trec80 (08.05.2019 в 03:08)
Пацыки!
Кто как считает , где лучше хранить авторизацию пользователя?)
1 - Сессии
2 - Куки)
Начали баталию!
P.s тут можно баллы заработать )
Я помню, ты задавал мне вопрос в моей теме по продаже ядра, на тему: каждый раз вводить логин и пароль при входе с разных устройств?
Так вот, проблему я решил, а так же дал возможность пользователям просматривать свою активность и удалять все сессии, кроме текущей (почти как в вк).
Реализовал я это с помощью кук, сессии мне не пригодились, вся информация хранится полностью на стороне пользователя. (да, передача в заголовок идет и загрузка снижается - но это доли секунд)
По сути куки безопасны на половину, но на это приходит httponly и ssl, теперь они безопасны на 90% ведь: куки HTTPonly не доступны из JavaScript через свойства Document.cookie API, что помогает избежать межсайтового скриптинга (XSS).
Куки украсть можно двумя путями: xss и допуск к пк, если с xss мы разобрались и защитили свой сайт, то при доступе к пк - это уже не наша проблема. Ведь даже если используются сессии, то доступ к аккаунта получить проще простого)
Остальные 10% - это привязка по ip или user-agent, но это уже на усмотрение самого пользователя.
----
В моем случае используется три ключа, которые ни одним подбором нельзя будет подобрать.
----
А дополнительно при смене ip и user-agent запрашивать пароль, будет весьма эффектно)
Trec80 (08.05.2019 в 03:08)
Пацыки!
Кто как считает , где лучше хранить авторизацию пользователя?)
1 - Сессии
2 - Куки)
Начали баталию!
P.s тут можно баллы заработать )
Я помню, ты задавал мне вопрос в моей теме по продаже ядра, на тему: каждый раз вводить логин и пароль при входе с разных устройств?
Так вот, проблему я решил, а так же дал возможность пользователям просматривать свою активность и удалять все сессии, кроме текущей (почти как в вк).
Реализовал я это с помощью кук, сессии мне не пригодились, вся информация хранится полностью на стороне пользователя. (да, передача в заголовок идет и загрузка снижается - но это доли секунд)
По сути куки безопасны на половину, но на это приходит httponly и ssl, теперь они безопасны на 90% ведь: куки HTTPonly не доступны из JavaScript через свойства Document.cookie API, что помогает избежать межсайтового скриптинга (XSS).
Куки украсть можно двумя путями: xss и допуск к пк, если с xss мы разобрались и защитили свой сайт, то при доступе к пк - это уже не наша проблема. Ведь даже если используются сессии, то доступ к аккаунта получить проще простого)
Остальные 10% - это привязка по ip или user-agent, но это уже на усмотрение самого пользователя.
----
В моем случае используется три ключа, которые ни одним подбором нельзя будет подобрать.
----
А дополнительно при смене ip и user-agent запрашивать пароль, будет весьма эффектно)
Подтверждение пароля сразу фейл. У меня например, в течении дня isp может пару раз меня ребутнуть.
________
посл. ред. 08.05.2019 в 21:32; всего 1 раз(а); by nadgobonom
NESCOKE nadgobonom (08.05.2019 в 21:32)
Подтверждение пароля сразу фейл. У меня например, в течении дня isp может пару раз меня ребутнуть.
Подтверждение пароля сразу фейл. У меня например, в течении дня isp может пару раз меня ребутнуть.
Не совсем тебя понял что ты имеешь ввиду. У меня например действует по такой схеме: что бы сменить пароль, нужно знать: секретный ключ и старый пароль
После этого заново заходить на сайт не нужно, пароль просто обновляется в базе)
Добрыня, я про это
А дополнительно при смене ip и user-agent запрашивать пароль, будет весьма эффектно)
Добрыня, Зачем при смене ip и user-agent запрашивать пароль? Не проще привязать к диапозону ip юзера?
Trec80 (08.05.2019 в 18:55)
419236368 (08.05.2019 в 18:53)
Trec80 (08.05.2019 в 18:50)
Челябинский (08.05.2019 в 18:48)
Trec80 (08.05.2019 в 18:47)
Челябинский, к примеру какие?
вк и т.д
Удалил куки ВК и остался авторизированным)
плохо удалил, невозможно остаться авторизованным, потому что как минимум идентификатор сессии в куках
ВК не хранит авторизацию в куках =D
419236368 (08.05.2019 в 18:53)
Trec80 (08.05.2019 в 18:50)
Челябинский (08.05.2019 в 18:48)
Trec80 (08.05.2019 в 18:47)
Челябинский, к примеру какие?
вк и т.д
Удалил куки ВК и остался авторизированным)
плохо удалил, невозможно остаться авторизованным, потому что как минимум идентификатор сессии в куках
ВК не хранит авторизацию в куках =D
Хранит и при чем не только идентификатор сессии, мало удалить одну куку, удали их все и тебе придется заново вводить логин и пароль...
Вот смотри на примере скрина от login.vk.com - в нем передается ключ доступа и id пользователя, и его права доступа (возможно я ошибаюсь, просто есть еще 2 куки где значение равно: 1).
-
После того, как происходит авторизация, куки с login.vk отдаются на домен vk.com где проходят дополнительную проверку на соответствие, шифруются и записываются в одну строку, имя ее я не знаю.
---
Я бы мог утверждать что вк пользуется безопасностью через неясность, но мне кажется у них совершенно другая система
Изображение
------
64303_08052019214452.png (17.4 Kb) Скачиваний: 116
TuT (08.05.2019 в 21:50)
Добрыня, Зачем при смене ip и user-agent запрашивать пароль? Не проще привязать к диапозону ip юзера?
Добрыня, Зачем при смене ip и user-agent запрашивать пароль? Не проще привязать к диапозону ip юзера?
Есть некая брешь в привязке по диапазону: Приходит Вася к Наташе и хочет посмотреть ее ВК, однако Наташа ходит рядом и Вася сделать этого не может. Он, вставляет свою флешку в компьютер, перекидывает данные с браузера (куки, сохраненные пароли и т.д.), приходит домой и ищет файл с куками, подменяет свои на ее куки и получает доступ к странице. Живет он на одной площадке с Наташей и пользуется ее вай фаем, что влечет за собой тот диапазон ip адресов.
А если, при смене ip и user-agenta запрашивать подтверждение входа, то Вася просто обломится.
Вконтакте эту систему ввели: вход на сайт с подтверждением смс. Можно сказать дополнительная авторизация..
(про доп защиту и привязки к ip, в тексте у меня есть)
У Васи будет примерно такое виденье, в место страницы Наташи
Изображение
------
64304_08052019220954.png (32.7 Kb) Скачиваний: 105
________
посл. ред. 08.05.2019 в 22:10; всего 1 раз(а); by Добрыня
Добрыня,
Еще оду и туже операционную систему используем и браузер. Я по любому авторизируюсь, так как IP выхода то один и тот же. Ну смотря для чего стоит задача, если нам не нужна постоянная авторизация, то да, данный метот хороший, если нет, то ты заставляешь пользователя постоянно вводить пароль для автоматизации при смене IP, что не есть хорошо.
Живет он на одной площадке с Наташей и пользуется ее вай фаем,
Еще оду и туже операционную систему используем и браузер. Я по любому авторизируюсь, так как IP выхода то один и тот же. Ну смотря для чего стоит задача, если нам не нужна постоянная авторизация, то да, данный метот хороший, если нет, то ты заставляешь пользователя постоянно вводить пароль для автоматизации при смене IP, что не есть хорошо.
