[ Príspevkov: 18 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
autologin

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
NapísalOffline : 14.10.2009 15:14 | autologin

Ahojte, potrebujem pomôcť s autologinom
môj systém bude fungovať asi tak že user sa prihlási a do tabulky sesisions sa uloží nejaké náhodne id (napr nejaký md5 hash) a potom sa tento hash uloží do cookie, a následne podľa toho bude overovať že či je user prihlásený a jeho userdata

len rozmýšľam že či to takto bude bezpečné, a ako na autologin?
či nejak že dám tým cookies napr životnosť rok alebo nejak inak...

poraďte
ďakujem


Offline

Skúsený užívateľ
Skúsený užívateľ
autologin

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 14.10.2009 17:27 | autologin

Rok je privela, standardne sa dava cca 14 dni. Pri kazdom prihlaseni sa zivotnost posunie, takze stranku niekto anvstevuje aspon raz za 2 tyzdne, heslo zadavat nemusi.

Autologin je vzdy bezpecnostne riziko, ale myslim ze nato ides dobre


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
autologin

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
Napísal autor témyOffline : 14.10.2009 17:33 | autologin

takže, proste keď zaškrtne user políčko autologin, tak sa to cookies nastaví na tie 2 týždne a normálne povedzme na 2 hodiny,
a do sesision tabuľky uložím to či to je autologin 1 alebo 0 a potom vždy pri načítani sesision podľa toho predĺžim cookies?


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 05.12.08
Prihlásený: 24.06.14
Príspevky: 59
Témy: 17 | 17
NapísalOffline : 15.10.2009 10:01 | autologin

ak posielas cez session sukromne informacie, netreba zabudnut nastavit v php.ini premennu session.use_only_cookies = On. Inak sa moze stat ze premenne session bude vidno v url adrese.


Offline

Skúsený užívateľ
Skúsený užívateľ
autologin

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 15.10.2009 10:17 | autologin

tomast7, ak nevies o com hovoris, tak sa prosim radsej vobec nevyjadruj. Niekoho kto o tom vie podobne nic ako ty mozes len dopliest.

miso: Neviem, ak niekto autologin nema, tak by som cookie vobec nevytvaral (a ak existuje,t ak by som ho mazal... pre pripad ze autologin mal a zrusil ho).


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 05.12.08
Prihlásený: 24.06.14
Príspevky: 59
Témy: 17 | 17
NapísalOffline : 15.10.2009 10:47 | autologin

Citácia:
ak nevies o com hovoris, tak sa prosim radsej vobec nevyjadruj


ty si riadny potlacovac iniciativy, teba by som nechcel mat za sefa:)
vychadzal som z tohto clanku:
http://www.linuxsoft.cz/article.php?id_article=642

citát z článku:
"O tom, co se ve skutečnosti stane, rozhoduje nastavení konfigurační volby session.use_only_cookies. Pokud používá server pro přenos identifikátoru session pouze cookies, nastavení session selže. Pokud ne, může nastavení jiné konfigurační volby, a sice session.use_trans_sid způsobit, že PHP přiřadí ID session do URL."

Ak som to doplietol no tak sorry...


Offline

Čestný člen
Čestný člen
autologin

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 15.10.2009 11:41 | autologin

Zrejme si si nevsimol slovicko "identifikator".


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 05.12.08
Prihlásený: 24.06.14
Príspevky: 59
Témy: 17 | 17
NapísalOffline : 15.10.2009 11:43 | autologin

ano, ale v clanku sa dalej pise:

"Přiřazení identifikátoru session jako parametru do URL má jednu podstatnou výhodu - bude to fungovat vždy, i když budou cookies vypnuté. Má to taky jednu podstatnou nevýhodu - není to vůbec bezpečné. Jestliže je totiž ID session posláno v URL, obdržíte URL podobné tomuto: http://www.server.cz/stranka.php?parame ... PHPSESSID=[identifikátor session]. Tedy k session se může připojit kdokoli, kdo nějak zachytí její identifikátor - vůbec to nemusí být ten, kdo session spustil (!)"


Offline

Čestný člen
Čestný člen
autologin

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 15.10.2009 11:50 | autologin

Proti ukradnutiu session sa ale da zabezpecit, nie je to tazke.


Offline

Skúsený užívateľ
Skúsený užívateľ
autologin

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 15.10.2009 11:57 | autologin

Bez ohladu nato co si tam cital alebo necital a bez ohladu nato ako si nastavis php.ini, premenne zo session do url adresy nikdy nedostanes (ani v tebou citovanom clanku sa o tom nepise).
Navyse, nikoho tu nezaujima tvoja (alebo kohokolvek) iniciativa. Tu ludia davaju otazky a cakaju odpovede. Spravne odpovede, cize nie nejake dohady a uvahy.

Ak sa v niecom nevyznas, nie je to nic nenormalne, nikto nevie vsetko. Nabuduce skus zabojovat s chutou vyjadrit sa ku vsetkemu, pripadne ked uz pises svoje nepodlozene uvahy, napis k nim ze to je tvoj pocit, ale spravnostou si si nie isty.


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
autologin

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
Napísal autor témyOffline : 15.10.2009 13:31 | autologin

ale ja nechcem pouzivat sesision ale chcem na to pouzit DB
a cookies


Offline

Skúsený užívateľ
Skúsený užívateľ
autologin

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 15.10.2009 13:46 | autologin

Ak ma niekto autologin vypnuty, cookies (pevne) by som nepouzival. Je to zbytocne. Len si tym skomplikujes parcu a este to je aj menej bezpecne


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
autologin

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
Napísal autor témyOffline : 15.10.2009 15:08 | autologin

nechapem, sesision ($_SESISION) je nebezpečné, sesision z tabulkou v DB a cookies je nebezpečné, tak ako to teda riešiť?


Offline

Skúsený užívateľ
Skúsený užívateľ
autologin

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 15.10.2009 15:28 | autologin

Pouzivanie $_SESSION je zo vsetkych moznosti daleko najbezpecnejsie.

Pre autologin je to ale nepouzitelne (kedze session_id prehliadac zahodi v momente zatvorenia okna prehliadaca). Preto musis na autologin pouzit cookies.


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
autologin

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
Napísal autor témyOffline : 15.10.2009 15:56 | autologin

len mne tu ide o toto
http://www.pcforum.sk/post-vp397034.html#397034


Offline

Skúsený užívateľ
Skúsený užívateľ
autologin

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 16.10.2009 9:53 | autologin

To sa da riesit tak ze si zmenis nastavenie a session budu ukladane do ineho adresara.

Otazne je, ci chce alebo nechces ukldat sukromne data... ak ano, tak session je stale lepsia volba ako cookie v ktorom su tie data nechranene na disku klienta


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
autologin

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
Napísal autor témyOffline : 17.10.2009 8:45 | autologin

no dobre, ale povedzte mi čo je zlé keď si vytvorím tabulku v DB
kde budem povedzme mať 3 polia
sesision_id
user_id
time

a potom budem ukladať cookie s tým sesision_id a podla toho budem zisťovať o koho sa jedná


Offline

Skúsený užívateľ
Skúsený užívateľ
autologin

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 17.10.2009 12:55 | autologin

nic na tom nie je zle, len ze zbytocne vytvaras pevne cookie :)
ak by si to mal v session, nemusis sa starat o vymazavanie (lebo pri odhlaseni alebo zatvoreni okna obycajne chceme aby bolo prihlasenie oznacene za neplatne)


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
 [ Príspevkov: 18 ] 


autologin



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

autologin RoundCube

v PHP, ASP

0

404

02.09.2009 16:41

Snacker

V tomto fóre nie sú ďalšie neprečítané témy.

autoLogin phpBB

v PHP, ASP

3

205

01.03.2010 14:43

Antuanet

V tomto fóre nie sú ďalšie neprečítané témy.

Autologin po wake up

v Ostatné programy

2

166

16.06.2012 19:23

Bokos

V tomto fóre nie sú ďalšie neprečítané témy.

Disabled Autologin ADMIN & MOD

v Redakčné systémy

24

978

26.12.2006 23:09

Hannibal_King

V tomto fóre nie sú ďalšie neprečítané témy.

problem s touchscreen a USB pri autologin

v Operačné systémy Microsoft

0

128

11.02.2011 19:41

Dybbuk



© 2005 - 2017 PCforum, edited by JanoF