PHP/MySQL | Нужен совет
Лара 
Тема закрыта by
388830670 [!]
Причина: Решил вопрос самостоятельно пока здешние мега кодеры рассказывали мне про все премудрости жизни как заслуженные программисты страны.
388830670 [!]
Причина: Решил вопрос самостоятельно пока здешние мега кодеры рассказывали мне про все премудрости жизни как заслуженные программисты страны.
TuT (14.01.2020 в 16:20)
Банги, Ну я предложил небольшой вариант решения данной проблемы. Но как видишь автор утверждает, что это полный бред, нужно записать хеш из сессии и это обезопасит аккаунт.
Банги, Ну я предложил небольшой вариант решения данной проблемы. Но как видишь автор утверждает, что это полный бред, нужно записать хеш из сессии и это обезопасит аккаунт.
брат, даже твой вариант особо не обезопасит.. т.к. есть прокси... любого города) если нужна безопасность аккаунта, то только двухфакторка.. большей безопасности не даст ничего)
Банги (14.01.2020 в 16:26)
брат, даже твой вариант особо не обезопасит.. т.к. есть прокси... любого города) если нужна безопасность аккаунта, то только двухфакторка.. большей безопасности не даст ничего)
брат, даже твой вариант особо не обезопасит.. т.к. есть прокси... любого города) если нужна безопасность аккаунта, то только двухфакторка.. большей безопасности не даст ничего)
Ну как бы это не вариант, если у тебя к примеру форум. Не будешь же ты постоянно запрашивать авторетизироватся. Правильно?
Все зависит от задачи, какая стоит задача перед тобой. Ели это форум, соцсеть и так далее, в которой постоянно требуется авторетизация, зачем она нужна?
TuT (14.01.2020 в 16:35)
Ну как бы это не вариант, если у тебя к примеру форум. Не будешь же ты постоянно запрашивать авторетизироватся. Правильно?Все зависит от задачи, какая стоит задача перед тобой. Ели это форум, соцсеть и так далее, в которой постоянно требуется авторетизация, зачем она нужна?
Ну как бы это не вариант, если у тебя к примеру форум. Не будешь же ты постоянно запрашивать авторетизироватся. Правильно?Все зависит от задачи, какая стоит задача перед тобой. Ели это форум, соцсеть и так далее, в которой постоянно требуется авторетизация, зачем она нужна?
да это понятно, я в целом о безопасности аккаунта, надежнее двухфакторки нет ничего)
Банги, Хорошо, представим что я пытаюсь угнать у тебя аккаунт. Знаю где ты находишься, взял прокси твоего города. Каковы шансы, что совпадет таже версия браузера и мне не запросят ввести кодовое слово? А при не удачной попытке, я бы к примеру отправил электроне письмо, что мол вот кто то пытается зайти в Ваш аккаунт.
TuT (14.01.2020 в 16:42)
Банги, Хорошо, представим что я пытаюсь угнать у тебя аккаунт. Знаю где ты находишься, взял прокси твоего города. Каковы шансы, что совпадет таже версия браузера и мне не запросят ввести кодовое слово? А при не удачной попытке, я бы к примеру отправил электроне письмо, что мол вот кто то пытается зайти в Ваш аккаунт.
Банги, Хорошо, представим что я пытаюсь угнать у тебя аккаунт. Знаю где ты находишься, взял прокси твоего города. Каковы шансы, что совпадет таже версия браузера и мне не запросят ввести кодовое слово? А при не удачной попытке, я бы к примеру отправил электроне письмо, что мол вот кто то пытается зайти в Ваш аккаунт.
так если куки украдены к примеру стиллером, то он все передаст, и юзер агент и все-все, что только можно)
Банги (14.01.2020 в 16:46)
так если куки украдены к примеру стиллером, то он все передаст, и юзер агент и все-все, что только можно)
так если куки украдены к примеру стиллером, то он все передаст, и юзер агент и все-все, что только можно)
Ну это уже совсем другой разговор и отдельная тема.
RGame 388830670 (14.01.2020 в 15:40)
RGame, я на то и создаю цмс, чтобы были гибкие настройки без хирургического вмешательства в код. С регой уже сделал подобное, разрешенная длина логина, разрешенные языки для логина, уровень сложности пароля, емейл и так далее. Так пусть и авторизация будет с гибкими настройками
RGame, я на то и создаю цмс, чтобы были гибкие настройки без хирургического вмешательства в код. С регой уже сделал подобное, разрешенная длина логина, разрешенные языки для логина, уровень сложности пароля, емейл и так далее. Так пусть и авторизация будет с гибкими настройками
да господи, что тебе мешает это сделать на фреймворке или CMS? Занимаешься бесполезной фигней))
TuT (14.01.2020 в 16:20)
Банги, Ну я предложил небольшой вариант решения данной проблемы. Но как видишь автор утверждает, что это полный бред, нужно записать хеш из сессии и это обезопасит аккаунт.
Банги, Ну я предложил небольшой вариант решения данной проблемы. Но как видишь автор утверждает, что это полный бред, нужно записать хеш из сессии и это обезопасит аккаунт.
Эмм.. а как сессия обезопасит аккаунт то? если ID сессии пишется в куки? а еще в куках у него данные для генерации других сессий) в чем смысл то? Не проще использовать уже access_token и refresh_token (если нужно)
RGame (14.01.2020 в 17:13)
Эмм.. а как сессия обезопасит аккаунт то? если ID сессии пишется в куки? а еще в куках у него данные для генерации других сессий) в чем смысл то? Не проще использовать уже access_token и refresh_token (если нужно)
Эмм.. а как сессия обезопасит аккаунт то? если ID сессии пишется в куки? а еще в куках у него данные для генерации других сессий) в чем смысл то? Не проще использовать уже access_token и refresh_token (если нужно)
А я то тут при чем
это автор утверждает что сохранить хеш из сессии в БД и проверять его с текущей (при надобности обновить в БД), то это безопасно.Я как бы написал что это бред и не как не повлияет на безопасность.
TuT (14.01.2020 в 17:22)
А я то тут при чем это автор утверждает что сохранить хеш из сессии в БД и проверять его с текущей (при надобности обновить в БД), то это безопасно.Я как бы написал что это бред и не как не повлияет на безопасность.
А я то тут при чем
это автор утверждает что сохранить хеш из сессии в БД и проверять его с текущей (при надобности обновить в БД), то это безопасно.Я как бы написал что это бред и не как не повлияет на безопасность. я не обвиняю тебя =)