Bezpecne prihlasenie

Zdravim.
Mam otazku ohladom prihlasovania uzivatelov.
Jednoduchsie prihlasovanie ovladam, teraz mam zaujem o mozno zlozitejsie ale hlavne bezpecne prihlasenie. Neviem, ci mam pouzit Sessiony, alebo Cookies, popripade kombinaciu a akym stylom pouzit/kontrolovat a ako treba porovnavat IP adresu. Dalej neviem na co treba brat ohlad na ochranu proti XSS/SQL utokom (a ake opatrenia treba na skriptoch a formoch). A nakoniec ma zaujma ci treba pouzit unixstamp a porovnania nejakeho minuleho casu s aktualnym na zistenie platnosti. Viem, ze na vsetko toto treba brat ohlad a pouzit to (pokial poznate este nejaky prvok sem s nim) , ale neviem do akej miery a akym stylom. Jednotlive tieto casti zvladam, ale ma zaujima ake je optimalna kombinacia vsetkych tychto (a dalsich) prvkov
Prihlasovanie chcem normalne email-heslo cez form, ziadne http auth.
Diky

Na prihlasovanie na 99,99% tie session použiješ. Otázne je len to, akým spôsobom si prenesieš session id (či využiješ cookie, alebo niečo iné).

Každopádne najskôr by si si mal niečo o tom nájsť a prečítať si to (napr. aj na tomto fóre).

Po spravnom prihlaseni ulozis do session povedzme nick a premennu prihlaseny s hodnotou ano. Kazdy script ti bude zacinat overenim, ci sa v session nachadza nick a prihlaseny s hodnotou ano, ked nie, ma dany uzivatel smolu. Toto bohate staci. Cookies mozes vyuzit max. na to, aby sa do policok nick a heslo pri logine automaticky vypisalo nick aj heslo, resp. aby sa uzivatel rovno prihlasoval, pokial je na rovnakom pocitaci, tak ako je to tu na fore

Co sa tyka IP, mozes ju dakde logovat, do dajakej tabulky v DB, ale je to fakt len na overenie, dneska moze mat kazdy IP aku ste S utokmi ty nic nenarobis, to je vec zabezpecenia serveru

No tak IP kontrolovať je hlúposť. Cookies pri prihlásení ako takom tiež nevyužiješ (iba pri automatickom).

A teraz, do session si budeš zaznamenávať každý neúspešný pokus, pri istom počte mu zakážeš prihlasovanie (a môžeš uložiť aj do cookies). Po úspešnom prihlásení dáš: session_regenerate_id(), a uložíš si aj identifikátori do session aby si vedel či je prihlásený ...

to kde si prisiel na taku somarinu, ze IP netreba kontrolovat? hovori ti nieco session stealing?

Ukladať veci do session nie je bezpečné. Podobne, ako píše djsulo.

Kde sa ukladajú sessions? Na serveri alebo na klientovi?

Na server, lenže pokiaľ ide o server, na ktorý sa pripájajú viacerí užívateľa, môže to predstavovať riziko.

ake? ako sa to da zneuzit?

Niekde som čítal, že pokiaľ sa používa pre session na jednom serveri pre všetkých používateľov jeden dočasný priečinok, každý z užívateľov má prístup do tohto priečinka, a tak môže prečítať aj iné sessions.

na niektorych serveroch, neviem ci na vsetkych, session idcka sa ukladaju do jedneho foldera, spolu s udajmi ktore session obsahuje.

Session si môžeš ukladať napr. do DB (alebo aj ako súbory, nemusíš používať "základný" spôsob, čo je v Php).

@Svolo Cookies môžeš využiť na ukladanie session id (a nie len na ukladanie mena...).

Ako zistím session ID?

Rád by som sa zapojil do vašej debaty. Neviem, kde začať, tak bude písať ako mi prsty padnú na klávesnicu.
Ako funguje session (session.save_handler = files) - Na serveri sa ukladajú súbory so serializovanými premennými zo $_SESSION. Klientovi pošleme cookie (cez hlavičku), v ktorom má session id.
Keďže je to cookie, za bežných okolností sa dá ukradnúť cez obyčajné xss, príklad takého "útoku":
Toto sa dá ošetriť nastavením v php.ini
Ukladať session do db neodporúčam. Pokiaľ to nie je prepracované dostatočne, tak to spôsobí zas ďalšie problémy, možno ešte väčšie.
Čo tu niekto spomínal to, že k tomu súboru má prístup každý užívateľ (pokiaľ nie je nastavené inak), problém môže byť ak máte rovnaký hosting ako útočník. Môže si jednoducho nastaviť v cookies sessionid získané z vašej stránky a robiť tam zmeny.
Ale nemalo by to vadiť, pokiaľ paranoidne preverujete každú hodnotu, či už z cookies, session, post, get, files alebo z databázy. Pretože nikdy neviete, kto sa vám nabúra do ktorej vrstvy v systéme.

Ja robím ešte takú jednu somarinku, celkom to aj funguje, že v session si uložím premennú, v ktorej je hash z ip adresy, pevne daného stringu, http_host, user_agent a neviem čoho ešte všetkého.
Čiže ak niekto aj ukradne sessionid, tak mu to nepomôže, pretože nebude mať ten správny z týchto v podstate nemenných premenných.
Jeden problém, čo mi napadá je, že keď niekto surfuje na notebooku, zavre notebook a pripojí sa niekde inde, už bude mať inú IP, čiže mu zruším session...

mno vyuzijem tento topic...chcem sa spytat...rozmysalm ze si budem nahodne generovat nejaky retazec...budem ho ukladat do tabulky k userovi...lenze otazka je ci prenasat retazec cez GET cookie alebo session....samozrejme pri overovani by som neoveroval iba ten retazec ale aj ine veci ako ip, cas kedy bol retazec vytvoreny (hash casu) napr prehliadac atd...len neviem kade prenasat ten retazec co by ste odporucali?

Ty si kde prišiel na takú somarinu, že IP treba kontrolovať? (rovnako priblbá otázka). Dnes sa využívajú aj dynamické IPčky ... IP sa ti môže zmeniť kedykoľvek. Čiže je to neefektívne - nemá to zmysel ... malo by to zmysel keby boli IP statické.

pepek92: Nevrav Oveľa bezpečnejšie ako GET, POST či COOKIE

chrono: do DB ... nuž zaujímavý názor. DB je najpomalšia časť stránky. Určite, si nebudem ukladať session do DB z pretože:
1, musel by som vymyslieť fakt dobrý spôsob, ako to tam nejako logicky uložiť
2, nabúrať sa do DB je jednoduchšie ako nabúrať sa do SESSION
3, session pri istých podmienkách je skoro neukradnteľné (píšem skoro lebo nič nie je 100%)

Ak sa ti niekto nabúra do DB, tak či je alebo nie je tam session je už v podstate jedno.

tominator: vidim ze ti to nic nehovori... myslim ze je najmensi problem, ked sa niekomu zmeni IP, tak sa prihlasi este raz, ako ked niekto odchyti jeho session a zneuzije ju, nemyslis?

pepek92: to je pravda
djsulo: nie nič mi to nevraví ... myslím že to ani nič podstatné neznamená, lebo session je od IP nezávislé

tak si najprv zisti o com hovorim

Ty si zisti o čom hovoríš -> session stealing (voľný preklad: kradnutie session). Existuje niekoľko spôsobov, najpoužívanejší je XSS. Takže miesto všeobecného pomenovania skús použiť niečo konkrétne

je to nato, ak ti niekto odchyti session a budes mat v nej ulozenu aj IP klienta, tak ju porovnas ci sedi, ak ti niekto ukradne session, v 99% pripadoch bude mat inu IP a session destroynes, uz je to jasne?

mno moholi by ste reagovat aj na moju otazku

Samozrejme ... veď keď získam tvoje session ID, tak sa budem tváriť ako ty -> t.j. budem prihlásený ako ty -> t.z. -> budem môcž čítať, mazať, upravovať

myslel som na prvej strane posledny prispevok na tamten ste mi odpovedali

Ako som už povedal, a NickVK prepojil, session je vhodná voľba.

Tominator, úprimne pochybujem, že je jednoduchšie nabúrať sa do DB ako si ukradnúť SESSION.

flety to zalezi od konkretneho pripadu. ak je web spraveny na chuja, obe veci su trivialne.