IP adrese loginā

[Stopp]

Taisu lietotāju loginu. Par 'atcerēties mani' opciju nav jāuztraucas, tāpēc visu daru ar sesijām. Ir ideja (hipotētiskajā cīņā pret sesijas id zagļiem) kā vienu no lietotāja autentifikācijas mēriem iehašot IP adresi $_SERVER['REMOTE_ADDR']. Man būtu divi jautājumi:

1) Dinamiskās IP taču tā pēkšņi web sērfošanas laikā nenomainās, vai ne?

2) Cik pieņemami / kreisi pati ideja skan?

[Faks]

nu ja ir dinamiska ip tad nāksies veidot kārtigu filtru ja nē ideju var atmest :)

protams var kaut ko izdomāt vienmēr vienkārši ar id drošibu vajaga palasīt RTFM un drusciņ pagrozīt galvu un bus teu miers :) piemēram esu esu drošibas maniaks piemērs kodu glabāju ar sha512 un plus nākt salt kurš ir bijis vel labi noheshots :D rezultāta iznāk uz 99% neuzlaužams kods bet vienmēr pastāvēs 1% iespēja ka spēs atkost :) ja nē pastāv iespēja ka kāds spēs kaut kad vai kādreiz atlauzt :)

Edited July 30, 2011 by Faks

[codez]

Faks, kā tavs 512 hešs un vēl hešot salts, paglābs pret to, ka kāds lokālā tīklā pārķer http request-u un nozog sesijas kūkiju, ja viņš ar to pašu kūkiju būs autorizēts?

[Grey_Wolf]

1) Dinamiskās IP taču tā pēkšņi web sērfošanas laikā nenomainās, vai ne?

2) Cik pieņemami / kreisi pati ideja skan?

Nē dinamiska adrese var nomainīties tikai tad kad dators ir bijis atslēgts no interneta.

Ja lokālajā tīklā tiks pārtverts kukijs, tad visticamāk IP būs identiska. attiecīgi neko tas nedos.

Drīzāk ir ieteicams noteikt maksimālo liku minūtēs cik useris var nebūt aktīvs.

Jo samērā bieži ir situcijas, kad useris ielagojās, kautko padarbojās, un aizver lapu, neizlogojoties no saita, un neaizverot brauzera logus.

otrs kas piesēdīsies pie tā paša kompja, atverot doto lapu - var nokļūt jau ielagota profilā.

šāds niķis, neiznīcināt sesijas kukijus, ir novēerots FF, tam pašam Inboxam. un Draugiem.lv

---

Ja tur butu uzstādīts ka max neaktīvais laiks teiksim ir 10 min. tad šāda iespēja tiktu minimizēta.

Šādi gļuki sevišķi ir bīstami, ja useris izmanto teiksim I-cafee (bibliotēkas, vai jebkuru citu publiskās piekļuves vietu).

piedevām ir jāskatās cik reāli vajag lielus drošības pasākumus Kautkādai primitīvai sludinājumu etc. lapa neko dižu jau nevajag- turpretīm ja drīšna ir ar naudas līdzekļiem, tad par drošību jārūpējas sevišķi , un jaizmanto Katra iespēja to palielināt

Edited July 31, 2011 by Grey_Wolf

[ezis]

Ja jau no lokālā tīkla var paķert visu, kas nāk no lietotāja, tad jau nav jēga nemaz veidot neko ar REMOTE_ADDR, HTTP_USER_AGENT un cepumiem? Kā būtu, ja JS ņemtu talkā un sūtītu uz serveri hidden laukā kaut ko aizkodētu?

[Stopp]

Hm, ok, tātad jēga maza. Laikam tad no HTTP_USER_AGENT īpaši lielāka arī nav. Oh well, paldies par atbildēm, jāuzliek laika limits.

 

Kā būtu, ja JS ņemtu talkā un sūtītu uz serveri hidden laukā kaut ko aizkodētu?

Baigi nepatīk doma, ka bez JS nevar ielogoties un strādāt. Turklāt JS ir redzams, un tev tāpat visu laiku jāvazā līdzi kaut kas viens (say, ekrāna rezolūcija or smth), ar ko tu identificē, ka tas ir īstais lietotājs. Vai arī tev bija kāda citādāka ideja?

[Faks]

Faks, kā tavs 512 hešs un vēl hešot salts, paglābs pret to, ka kāds lokālā tīklā pārķer http request-u un nozog sesijas kūkiju, ja viņš ar to pašu kūkiju būs autorizēts?

man priekštam ir viens mazinš filtrs :) a ja tiešāk neliels komplekts :)

Edited July 31, 2011 by Faks

[Aleksejs]

Visādiem amerikāņiem un citādiem aizjūru bāliņiem mēdzot sesijas ietvaros mainīties adrese, caur kuru viņa "AoL" pieslēgums tiek translēts (NAT). Tāpat arī visādiem anonimitātes faniem, viņu Tor (un citu onion-routing) tīklā adreses mainās bieži un negaidīti.

Tas, protams, nenozīmē, ka tādēļ jāatmet doma par IP adreses izmantošanu, vienkārši jāapzinās, ka šādi "pacienti" eksistē un ka jābūt gatavam saskarties ar sūdzībām no viņu puses.