|
Cookies vs sessions
|
| Автор |
Сообщение |
lazutov
while (1==1);
Зарегистрирован: 30.04.2007
Сообщения: 3840
111220 
|
 Добавлено: Пн, 29 Сен, 2008 16:38 Заголовок сообщения: Cookies vs sessions |
 |
|
Здравствуйте.
Выскажите,пожалуйста, свое мнение по поводу использования данных технологий при авторизации пользователя.
_________________
сервис DNS | разные http, DNS и прочие утилиты |
|
| Вернуться к началу |
|
 |
[LP]LordPro.teus
Призрак Лорда
Зарегистрирован: 26.07.2007
Сообщения: 5092
42282
|
| Добавлено: Пн, 29 Сен, 2008 16:57 Заголовок сообщения: |
|
|
В чем ключевая разница?.. Сессии тоже, по дефолту, работают через cookies (если они у юзера включены)...
_________________
 
До выхода LiteDiary 0.3.0: парам-пам-пам-пам! Она уже здесь! |
|
| Вернуться к началу |
|
|
lazutov
while (1==1);
Зарегистрирован: 30.04.2007
Сообщения: 3840
111220
|
|
| Вернуться к началу |
|
|
[LP]LordPro.teus
Призрак Лорда
Зарегистрирован: 26.07.2007
Сообщения: 5092
42282
|
| Добавлено: Пн, 29 Сен, 2008 17:00 Заголовок сообщения: |
|
|
lazutov
как и сессии, если вспомнить, что в 95% случаев они стоят через, собственно, куки...
_________________
До выхода LiteDiary 0.3.0: парам-пам-пам-пам! Она уже здесь! |
|
| Вернуться к началу |
|
|
Веденин
Красные глаза
Зарегистрирован: 17.05.2007
Сообщения: 2066
Откуда: Самара
11733
|
| Добавлено: Пн, 29 Сен, 2008 17:37 Заголовок сообщения: |
|
|
Ну и сессии и куки можно использовать только для кратковременной авторизации, и сессию и куки можно настроить так чтобы они сохранялись только в памяти и как только браузер закроется удалялись. По сути для одного сеанса никакой разницы между сессией и куками нет, просто сессия более удобна для программирования (это просто куки которые автоматом передаются между страницами), для одного сеанса связи кроме куков можно ещё ip адрес или user-agent проверять, для постоянного входа лучше каждый раз спрашивать имя и пароль.
Вообще я знаю 4 метода кратковременной авторизации
1) куки
2) сессии
3) htacсess (сложно добавлять новых пользователей)
4) отправкой кода 401 браузера (пользователю браузер покажет окно пароля, при каждом следующем обращении к любой странице сайта до тех пор пока не будет закрыт браузер пароль и пользователь будут в переменных $PHP_AUTH_PW и $PHP_AUTH_USER, это берет на себя браузер)
P.S. Наверно можно ещё комбинировать различные методы типа проверки User-Agent, IP, куков и кода 401, но для сверх важной информации лучше использовать https, ну и можно вести логи соединений с помощью сессий и кук и например через 30 минут после последнего соеденения по кукам спрашивать пароль заново, в таком случае использовать украденные куки будет очень сложно.
_________________
Написание конвекторов, парсеров, интеграции нескольких сайтов (в личку)
Тематические поисковые системы Рунета: Танцевальная, программиста, поиск книг |
|
| Вернуться к началу |
|
|
lazutov
while (1==1);
Зарегистрирован: 30.04.2007
Сообщения: 3840
111220
|
|
| Вернуться к началу |
|
|
[LP]LordPro.teus
Призрак Лорда
Зарегистрирован: 26.07.2007
Сообщения: 5092
42282
|
| Добавлено: Пн, 29 Сен, 2008 18:05 Заголовок сообщения: |
|
|
оно-то можно... но с точки зрения безопасности - весьма нежелательно
_________________
До выхода LiteDiary 0.3.0: парам-пам-пам-пам! Она уже здесь! |
|
| Вернуться к началу |
|
|
DEXIF
#!/bin/bash
Зарегистрирован: 27.09.2006
Сообщения: 918
Откуда: Минск
49871
|
| Добавлено: Пн, 29 Сен, 2008 20:28 Заголовок сообщения: |
|
|
| Веденин писал(а): | | Ну и сессии и куки можно использовать только для кратковременной авторизации, и сессию и куки можно настроить так чтобы они сохранялись только в памяти и как только браузер закроется удалялись. |
Сессии никак не поймут что браузер закрыт... они хранятся на сервере определённое время... И если они не обновятся браузером - то они удалятся автоматом...
Для долговременной авторизации можно поставить куки... Вот у меня например если человек захочет то сможет сохранить авторизацию... (надо бы тока выложить новую версию CMS'ки чтоб действительно смог  ) Я использую сессию как временное хранилище некоторой инфы, если посетитель залогинен, а в куках хранятся тока логин и пароль... (если человек хочет "Запомнить" авторизацию)
_________________
S|D|EG| Let's Rock! | XAP в ЛИЧКУ, SAPE |
|
| Вернуться к началу |
|
|
AlfaUngzipper
Два пингвина
Зарегистрирован: 23.02.2007
Сообщения: 370
Откуда: Halle (Saale)
4
|
| Добавлено: Вт, 30 Сен, 2008 02:17 Заголовок сообщения: |
|
|
| Слой SSL. Остальное - безопасность от кулхацкеров. Куки хватаются на любом участке прохождения (особенно через домашние сети и там, где можно поставить куки-сниффер). Сессии как правило распологаются в /tmp у хостеров... Если сервер не личный, сессии превращаются в файлообменник паролей (особенно если в сессиях и куках хранятся не хэши данных, а сами данные - это важный момент). |
|
| Вернуться к началу |
|
|
Веденин
Красные глаза
Зарегистрирован: 17.05.2007
Сообщения: 2066
Откуда: Самара
11733
|
| Добавлено: Вт, 30 Сен, 2008 02:50 Заголовок сообщения: |
|
|
| DEXIF писал(а): | | Я использую сессию как временное хранилище некоторой инфы, если посетитель залогинен, а в куках хранятся тока логин и пароль... (если человек хочет "Запомнить" авторизацию) |
Логин и пароль хранить в куках это очень не безопасно, лучше хранить какой нибудь ключ генерируемый после каждого сеанса работы с поьзователем, т.е. пользователь залогинился сгенеририть ключ, пользователь пришел через большой промежуток времени проверить ключ на актуальность и выдать новый, в этом случае:
1) даже если куку украдут после первого логирования правильного пользователя она перестанет действовать
2) если в куки будет user = vasja, password = pass это намного понятнее хацкеру, чем key23 = hfjge3734897gkghs
3) если пользователь под одним паролем заходит везде с кражей вашей куки он теоретически может потерять все в инете от почты и icq до кучи $
| lazutov писал(а): | | Что лучше для долговременной? |
Какой уровень безопасности вам нужен? Лучше всего конечно VPN соединение с аппаратным токеном у пользователя генерирующим уникальный ключ для каждой минуты  , использование шифрование всего трафика и т.п. только это будет очень накладно
_________________
Написание конвекторов, парсеров, интеграции нескольких сайтов (в личку)
Тематические поисковые системы Рунета: Танцевальная, программиста, поиск книг |
|
| Вернуться к началу |
|
|
DEXIF
#!/bin/bash
Зарегистрирован: 27.09.2006
Сообщения: 918
Откуда: Минск
49871
|
| Добавлено: Вт, 30 Сен, 2008 03:47 Заголовок сообщения: |
|
|
Если у меня шифрование будет своим (нестандартным) способом то украденный пароль зашифрованный и лежащий в куках никому ничем не поможет! Ведь даже расшифровка Md5 хеша с 6-8 знаками не очень простое дело... а с учётом что можно зашифровать данные с ключём известным только администратору сайта... делает взлом такого пароля почти не реальным...
Единственная выгода от вашего способа - то что человек (взломщик) сможет сидеть только до следующего входа настоящего пользователя.
Но как тогда запомнить пользователя... ведь взломщик если залезет с вашиим кеем он тоже обновит инфу... а следовательно надо будет опять залогинится... тут всё упирается в безопастность... и приходится выбирать между безопастностью и удобством пользователя... хотя если взломщик не будет красть каждый раз вашу куку то впринципе довольно удобно...
Сори за рассуждение в слух
_________________
S|D|EG| Let's Rock! | XAP в ЛИЧКУ, SAPE |
|
| Вернуться к началу |
|
|
lazutov
while (1==1);
Зарегистрирован: 30.04.2007
Сообщения: 3840
111220
|
| Добавлено: Вт, 30 Сен, 2008 05:06 Заголовок сообщения: |
|
|
когда использовал куки я делал по-друшому.
Есть сдед. Параметры.
1) пака со скриптом: test.ru/folder. Превращаем ее в имя куки testrufolder
2) имя пользователя. Пускай user
3) введенный при последней авторизации пароль: pass
4) Первые n символов браузера Mozilla/5.
5) рандомно генерируемычй после каждого входа ключ(хранится в БД). пусть skkhdfk
// 6) можно и IP проверять
Ставим кукy testrufolder_user = user;
testrufolder_auth=md5($pass.$browser.$key); + можно IP проверять
а можно проверять и с IP и без.
Если ип изменился - кик куку.
_________________
сервис DNS | разные http, DNS и прочие утилиты |
|
| Вернуться к началу |
|
|
Alek$
11 1110 1000
Зарегистрирован: 24.11.2007
Сообщения: 1136
Откуда: Новосибирск
26695
|
| Добавлено: Вт, 30 Сен, 2008 05:26 Заголовок сообщения: |
|
|
lazutov
последняя схема проверена опытом многих людей и оптимальна для долгосрочной авторизации. Для кратковременной проще всего использовать переменные сессии, либо ту же схему, но с ограничением по времени.
_________________
Самая страшная ошибка - это ошибка без видимых причин и конкретных последствий.
phpBB3 [db_update.php generator]
phpBB3 [Russian]
Антисоциальный блог |
|
| Вернуться к началу |
|
|
|
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
