| | |
| Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
Autor | Správa |
---|
Registrovaný: 09.02.07 Prihlásený: 26.01.15 Príspevky: 257 Témy: 20 | Napísal mondzo: 09.02.2007 18:54 | |
|
Co si myslite a mojom session managerovi? Chcem pocut VAse nazory, navrhy na zmeny, zlepsenie atd., som zacinajuci PHP, MySQL koder:
Prva Login stranka:
1. Nastavenie mena mojej session -> vzdy moje vlastne, napr (QIABH)
2. Generovanie mojho vlastneho session_id - random generator z cisel, pismen
3. Spustenie session_start();
4. Get USER_AGENT + generovanie ineho random string - volam ho secret_key = toto zakryptujem do md5 -> moj agent
5. nastavim potrebne $_SESSION variable -> agent zo 4.bodu a este autorisation (value = napr. true)
6. updatnem session tabulku v db a insertnem tam php_session_id, expiration, secret_key, person_id, login_time, domain
7. zaroven insertnem nejake info do session_history -> pre teraz aspon login_time a domain (ip address)
Druha login stranka:
1. Pred nacitanom chceck session -> PHP session and DB session
select from db where session_id = 'PHP session_id'
2. Citam data zo session_table, pripravim agenta z USER_AGENT a secret_key, ktory citam z databazy + plus crypt s md5
3. Hlavna podmienka -> porovnavam agentov (databazoveho a ulozeneho v PHP session), potom expiration ci uz nevyprsala, nulove hodnoty v session table, dalej session_hodnoty ci su take ako som ich nastavil na zaciatku, potom session_name atd. => ak vsetko OK, pokracujem, ak nie, BAD BOY ACCESS
4. vygenereujm nove secret_key a updatnem session_variable USER_AGENT s novym secret_key a takisto aj DB.
5. Potom zobrazim na stranke este aby user zadal urcity znak z FAMILIAR WORD (toto robim 2x) a este reminder_phrase
6. Ak zada hodnoty v predchadzajucom kroku spravne -> updatnem este vytvorim novu session premennu ADDED_SECURITY a nastavim na true a updatnem takisto databazu a nastavim column Added security na tru v session table.
Body 1-4 z druhej login stranky kontrolujem na kazdej stranke, ktora je sucastou secret secure sekcie.
to je asi tak vsetko, necakal som, ze to je take tazke dat na papier a popisat to.
|
|
Registrovaný: 09.02.07 Prihlásený: 26.01.15 Príspevky: 257 Témy: 20 | Napísal autor témy mondzo: 12.02.2007 18:59 | |
|
Tak co stale nikto?
Akym sposobom riesite vy login system?
|
|
Registrovaný: 30.05.06 Prihlásený: 08.10.14 Príspevky: 1756 Témy: 35 Bydlisko: BA - WESTSIDE | Napísal p360t: 12.02.2007 20:07 | |
|
no, vzhľadom na to, že neuskladňujem na mojom webe nič, čo by bolo nejak extrémne cenné a rovnako vzhľadom na to, že stačí trošku social engineeringu alebo phisingu a všetky tieto opatrenia sú ti na dve veci ( a ), považujem podobné opatrenia za prehnané preto používam takú jednoduchú klasiku so $_SESSION ...
_________________
A. S. Tanenbaum píše: The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice. |
|
Registrovaný: 09.02.07 Prihlásený: 26.01.15 Príspevky: 257 Témy: 20 | Napísal autor témy mondzo: 13.02.2007 17:17 | |
|
Ja si nemyslim, ze je to zase az take prehnane, chcel som vytvorit nieco specialne, momentlane robim pre jednu uctovnicku firmu a vytvaram klientsku zonu...
Ja som si toho vedomy, ze nie je mozne vytvorit 100% aplikaciu, to urcite nie, ale uplatnit rozne bezpecnostne techniky sa myslim oplati - ztazit tym cestu "BAD BOY" - ovi, ktory ma zle umysly .
|
|
Registrovaný: 01.10.05 Prihlásený: 22.04.08 Príspevky: 79 Témy: 4 Bydlisko: Trnava - co... | Napísal eros: 13.02.2007 18:58 | |
|
este to hod cez https a bude to ok nieco podobne budem robit aj ja a toto nie je zly navod diki
_________________ Dve veci sú na tomto svete nekonečné: ľudská hlúposť a vesmír. A tým vesmírom si nie som taký istý. (Albert Einstein ) CPU:Intel P4 1400MHz MB:MSI MS-6566 Memory:512MB DDR VGA:ATI Radeon 9100 64MB Sound:SB Live 5.1-Player + Gembird WSC-YF-1A DVD:LG GSA-4163B Monitor:LiteOn C1771NST Storage:160GB ATA Seagate Keyboard:A4-Tech KBS-8 Mouse:A4-Tech WOP-35 |
|
Registrovaný: 09.02.07 Prihlásený: 26.01.15 Príspevky: 257 Témy: 20 | Napísal autor témy mondzo: 13.02.2007 23:15 | |
|
jasne, SSL je uz kupena a nainstalovana na servri, takze 100% to pojde cez https
|
|
| Stránka: 1 z 1
| [ Príspevkov: 6 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| Fifa manager 12 alebo Football manager 12 v Počítačové hry | 6 | 584 | 12.08.2012 9:24 jtbs | | Session v PHP, ASP | 1 | 651 | 29.09.2008 0:28 chrono | | SESSION v PHP, ASP | 7 | 645 | 11.10.2007 14:37 xxxmiroxxx | | Session v PHP, ASP | 2 | 500 | 25.02.2010 14:59 arno | | session v PHP, ASP | 1 | 542 | 28.12.2008 13:43 Tominator | | session v PHP, ASP | 24 | 1911 | 19.01.2007 18:27 m@-nX | | SESSION v PHP, ASP | 1 | 562 | 26.03.2009 19:36 Ďuri | | session v PHP, ASP | 1 | 539 | 29.06.2009 17:51 emer | | session warning v PHP, ASP | 1 | 437 | 08.02.2012 19:22 Ďuri | | Zabezpečenie SESSION v PHP, ASP | 2 | 555 | 19.05.2011 16:03 Bokos | | nekonecna session v Ostatné | 2 | 561 | 13.10.2009 13:31 myxall | | SESSION regexp v Webhosting a servery | 9 | 741 | 08.11.2008 16:27 Tominator | | session save v PHP, ASP | 10 | 532 | 06.08.2009 13:38 antivir | | Pomenovanie session v PHP, ASP | 2 | 260 | 04.10.2014 21:32 majky358 | | login SESSION v PHP, ASP | 4 | 361 | 08.05.2014 11:38 Ďuri | | session :-o v PHP, ASP | 6 | 562 | 20.08.2008 21:13 rooobertek |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|