Jump to content
php.lv forumi

IP adrese loginā


Stopp

Recommended Posts

Taisu lietotāju loginu. Par 'atcerēties mani' opciju nav jāuztraucas, tāpēc visu daru ar sesijām. Ir ideja (hipotētiskajā cīņā pret sesijas id zagļiem) kā vienu no lietotāja autentifikācijas mēriem iehašot IP adresi $_SERVER['REMOTE_ADDR']. Man būtu divi jautājumi:

1) Dinamiskās IP taču tā pēkšņi web sērfošanas laikā nenomainās, vai ne?

2) Cik pieņemami / kreisi pati ideja skan?

Link to comment
Share on other sites

nu ja ir dinamiska ip tad nāksies veidot kārtigu filtru ja nē ideju var atmest :)

protams var kaut ko izdomāt vienmēr vienkārši ar id drošibu vajaga palasīt RTFM un drusciņ pagrozīt galvu un bus teu miers :) piemēram esu esu drošibas maniaks piemērs kodu glabāju ar sha512 un plus nākt salt kurš ir bijis vel labi noheshots :D rezultāta iznāk uz 99% neuzlaužams kods bet vienmēr pastāvēs 1% iespēja ka spēs atkost :) ja nē pastāv iespēja ka kāds spēs kaut kad vai kādreiz atlauzt :)

Edited by Faks
Link to comment
Share on other sites

1) Dinamiskās IP taču tā pēkšņi web sērfošanas laikā nenomainās, vai ne?

2) Cik pieņemami / kreisi pati ideja skan?

Nē dinamiska adrese var nomainīties tikai tad kad dators ir bijis atslēgts no interneta.

Ja lokālajā tīklā tiks pārtverts kukijs, tad visticamāk IP būs identiska. attiecīgi neko tas nedos.

Drīzāk ir ieteicams noteikt maksimālo liku minūtēs cik useris var nebūt aktīvs.

Jo samērā bieži ir situcijas, kad useris ielagojās, kautko padarbojās, un aizver lapu, neizlogojoties no saita, un neaizverot brauzera logus.

otrs kas piesēdīsies pie tā paša kompja, atverot doto lapu - var nokļūt jau ielagota profilā.

šāds niķis, neiznīcināt sesijas kukijus, ir novēerots FF, tam pašam Inboxam. un Draugiem.lv

---

Ja tur butu uzstādīts ka max neaktīvais laiks teiksim ir 10 min. tad šāda iespēja tiktu minimizēta.

Šādi gļuki sevišķi ir bīstami, ja useris izmanto teiksim I-cafee (bibliotēkas, vai jebkuru citu publiskās piekļuves vietu).

piedevām ir jāskatās cik reāli vajag lielus drošības pasākumus Kautkādai primitīvai sludinājumu etc. lapa neko dižu jau nevajag- turpretīm ja drīšna ir ar naudas līdzekļiem, tad par drošību jārūpējas sevišķi , un jaizmanto Katra iespēja to palielināt

Edited by Grey_Wolf
Link to comment
Share on other sites

Ja jau no lokālā tīkla var paķert visu, kas nāk no lietotāja, tad jau nav jēga nemaz veidot neko ar REMOTE_ADDR, HTTP_USER_AGENT un cepumiem? Kā būtu, ja JS ņemtu talkā un sūtītu uz serveri hidden laukā kaut ko aizkodētu?

Link to comment
Share on other sites

Hm, ok, tātad jēga maza. Laikam tad no HTTP_USER_AGENT īpaši lielāka arī nav. Oh well, paldies par atbildēm, jāuzliek laika limits.

 

Kā būtu, ja JS ņemtu talkā un sūtītu uz serveri hidden laukā kaut ko aizkodētu?

Baigi nepatīk doma, ka bez JS nevar ielogoties un strādāt. Turklāt JS ir redzams, un tev tāpat visu laiku jāvazā līdzi kaut kas viens (say, ekrāna rezolūcija or smth), ar ko tu identificē, ka tas ir īstais lietotājs. Vai arī tev bija kāda citādāka ideja?

Link to comment
Share on other sites

Faks, kā tavs 512 hešs un vēl hešot salts, paglābs pret to, ka kāds lokālā tīklā pārķer http request-u un nozog sesijas kūkiju, ja viņš ar to pašu kūkiju būs autorizēts?

man priekštam ir viens mazinš filtrs :) a ja tiešāk neliels komplekts :)

Edited by Faks
Link to comment
Share on other sites

Visādiem amerikāņiem un citādiem aizjūru bāliņiem mēdzot sesijas ietvaros mainīties adrese, caur kuru viņa "AoL" pieslēgums tiek translēts (NAT). Tāpat arī visādiem anonimitātes faniem, viņu Tor (un citu onion-routing) tīklā adreses mainās bieži un negaidīti.

Tas, protams, nenozīmē, ka tādēļ jāatmet doma par IP adreses izmantošanu, vienkārši jāapzinās, ka šādi "pacienti" eksistē un ka jābūt gatavam saskarties ar sūdzībām no viņu puses.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...