| | |
| Stránka: 1 z 1
| [ Príspevkov: 18 ] | |
Autor | Správa |
---|
Registrovaný: 20.03.08 Prihlásený: 08.03.17 Príspevky: 596 Témy: 149 Bydlisko: Houston, Texas | Napísal Unlink: 14.10.2009 15:14 | |
|
Ahojte, potrebujem pomôcť s autologinom
môj systém bude fungovať asi tak že user sa prihlási a do tabulky sesisions sa uloží nejaké náhodne id (napr nejaký md5 hash) a potom sa tento hash uloží do cookie, a následne podľa toho bude overovať že či je user prihlásený a jeho userdata
len rozmýšľam že či to takto bude bezpečné, a ako na autologin?
či nejak že dám tým cookies napr životnosť rok alebo nejak inak...
poraďte
ďakujem
|
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
Rok je privela, standardne sa dava cca 14 dni. Pri kazdom prihlaseni sa zivotnost posunie, takze stranku niekto anvstevuje aspon raz za 2 tyzdne, heslo zadavat nemusi.
Autologin je vzdy bezpecnostne riziko, ale myslim ze nato ides dobre
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 20.03.08 Prihlásený: 08.03.17 Príspevky: 596 Témy: 149 Bydlisko: Houston, Texas | Napísal autor témy Unlink: 14.10.2009 17:33 | |
|
takže, proste keď zaškrtne user políčko autologin, tak sa to cookies nastaví na tie 2 týždne a normálne povedzme na 2 hodiny,
a do sesision tabuľky uložím to či to je autologin 1 alebo 0 a potom vždy pri načítani sesision podľa toho predĺžim cookies?
|
|
Registrovaný: 05.12.08 Prihlásený: 24.06.14 Príspevky: 59 Témy: 17 |
ak posielas cez session sukromne informacie, netreba zabudnut nastavit v php.ini premennu session.use_only_cookies = On. Inak sa moze stat ze premenne session bude vidno v url adrese.
|
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
tomast7, ak nevies o com hovoris, tak sa prosim radsej vobec nevyjadruj. Niekoho kto o tom vie podobne nic ako ty mozes len dopliest.
miso: Neviem, ak niekto autologin nema, tak by som cookie vobec nevytvaral (a ak existuje,t ak by som ho mazal... pre pripad ze autologin mal a zrusil ho).
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 05.12.08 Prihlásený: 24.06.14 Príspevky: 59 Témy: 17 |
Citácia: ak nevies o com hovoris, tak sa prosim radsej vobec nevyjadruj
ty si riadny potlacovac iniciativy, teba by som nechcel mat za sefa:)
vychadzal som z tohto clanku:
http://www.linuxsoft.cz/article.php?id_article=642
citát z článku:
"O tom, co se ve skutečnosti stane, rozhoduje nastavení konfigurační volby session.use_only_cookies. Pokud používá server pro přenos identifikátoru session pouze cookies, nastavení session selže. Pokud ne, může nastavení jiné konfigurační volby, a sice session.use_trans_sid způsobit, že PHP přiřadí ID session do URL."
Ak som to doplietol no tak sorry...
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 15.10.2009 11:41 | |
|
Zrejme si si nevsimol slovicko "identifikator".
|
|
Registrovaný: 05.12.08 Prihlásený: 24.06.14 Príspevky: 59 Témy: 17 |
ano, ale v clanku sa dalej pise:
"Přiřazení identifikátoru session jako parametru do URL má jednu podstatnou výhodu - bude to fungovat vždy, i když budou cookies vypnuté. Má to taky jednu podstatnou nevýhodu - není to vůbec bezpečné. Jestliže je totiž ID session posláno v URL, obdržíte URL podobné tomuto: http://www.server.cz/stranka.php?parame ... PHPSESSID=[identifikátor session]. Tedy k session se může připojit kdokoli, kdo nějak zachytí její identifikátor - vůbec to nemusí být ten, kdo session spustil (!)"
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 15.10.2009 11:50 | |
|
Proti ukradnutiu session sa ale da zabezpecit, nie je to tazke.
|
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
Bez ohladu nato co si tam cital alebo necital a bez ohladu nato ako si nastavis php.ini, premenne zo session do url adresy nikdy nedostanes (ani v tebou citovanom clanku sa o tom nepise).
Navyse, nikoho tu nezaujima tvoja (alebo kohokolvek) iniciativa. Tu ludia davaju otazky a cakaju odpovede. Spravne odpovede, cize nie nejake dohady a uvahy.
Ak sa v niecom nevyznas, nie je to nic nenormalne, nikto nevie vsetko. Nabuduce skus zabojovat s chutou vyjadrit sa ku vsetkemu, pripadne ked uz pises svoje nepodlozene uvahy, napis k nim ze to je tvoj pocit, ale spravnostou si si nie isty.
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 20.03.08 Prihlásený: 08.03.17 Príspevky: 596 Témy: 149 Bydlisko: Houston, Texas | Napísal autor témy Unlink: 15.10.2009 13:31 | |
|
ale ja nechcem pouzivat sesision ale chcem na to pouzit DB
a cookies
|
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
Ak ma niekto autologin vypnuty, cookies (pevne) by som nepouzival. Je to zbytocne. Len si tym skomplikujes parcu a este to je aj menej bezpecne
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 20.03.08 Prihlásený: 08.03.17 Príspevky: 596 Témy: 149 Bydlisko: Houston, Texas | Napísal autor témy Unlink: 15.10.2009 15:08 | |
|
nechapem, sesision ($_SESISION) je nebezpečné, sesision z tabulkou v DB a cookies je nebezpečné, tak ako to teda riešiť?
|
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
Pouzivanie $_SESSION je zo vsetkych moznosti daleko najbezpecnejsie.
Pre autologin je to ale nepouzitelne (kedze session_id prehliadac zahodi v momente zatvorenia okna prehliadaca). Preto musis na autologin pouzit cookies.
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 20.03.08 Prihlásený: 08.03.17 Príspevky: 596 Témy: 149 Bydlisko: Houston, Texas | Napísal autor témy Unlink: 15.10.2009 15:56 | |
|
|
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
To sa da riesit tak ze si zmenis nastavenie a session budu ukladane do ineho adresara.
Otazne je, ci chce alebo nechces ukldat sukromne data... ak ano, tak session je stale lepsia volba ako cookie v ktorom su tie data nechranene na disku klienta
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 20.03.08 Prihlásený: 08.03.17 Príspevky: 596 Témy: 149 Bydlisko: Houston, Texas | Napísal autor témy Unlink: 17.10.2009 8:45 | |
|
no dobre, ale povedzte mi čo je zlé keď si vytvorím tabulku v DB
kde budem povedzme mať 3 polia
sesision_id
user_id
time
a potom budem ukladať cookie s tým sesision_id a podla toho budem zisťovať o koho sa jedná
|
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
nic na tom nie je zle, len ze zbytocne vytvaras pevne cookie
ak by si to mal v session, nemusis sa starat o vymazavanie (lebo pri odhlaseni alebo zatvoreni okna obycajne chceme aby bolo prihlasenie oznacene za neplatne)
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
| Stránka: 1 z 1
| [ Príspevkov: 18 ] | |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|