ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (2): [1] 2 »   

> Описание: Защита
Виктория
Отправлено: 29 апреля 2011 — 21:37
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 22
Дата рег-ции: Нояб. 2009  
Откуда: Россия, Пермь
Репутация: 0




Приветики! Я пишу приложение у которого есть что-то типа админцентра. И пытаюсь его хоть както защитить.

Начала сравнивать ExBB и столкнулась вот с чем. При удачной попытке логина администртора регистрируется $_SESSION['admin'] - для чего? Дальше как она используется? И как вообще можно защитить админку кроме пароля? Достаточно ли проверок на такую сессионную переменую?

И второй вопрос. После логина юзера, что писать в куки? его id ведь недостаточно? можно легко подставить! Помогайте, вся уже замучалась! Огорчение Огорчение Огорчение
 
 
BON
Отправлено: 29 апреля 2011 — 21:47
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Виктория пишет:
И как вообще можно защитить админку кроме пароля?

защищайте средствами .htaccess
Виктория пишет:
И второй вопрос. После логина юзера, что писать в куки? его id ведь недостаточно? можно легко подставить!

это стучите к Юре в личку
 
 
Виктория
Отправлено: 29 апреля 2011 — 21:50
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 22
Дата рег-ции: Нояб. 2009  
Откуда: Россия, Пермь
Репутация: 0




BON пишет:
защищайте средствами .htaccess

спасибо, а где можно про это доходчиво почитать?

(Отредактировано автором: 29 апреля 2011 — 21:54)

 
 
BON
Отправлено: 29 апреля 2011 — 22:37
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Виктория, тут на форуме через поиск поищите на раз обсуждалось. Защита средствами .htaccess выполняется со стороны сервера.
 
 
1Bot
Отправлено: 29 апреля 2011 — 23:45
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009  
Откуда: Днепропетровск
Репутация: 69




Виктория пишет:
Начала сравнивать ExBB и столкнулась вот с чем. При удачной попытке логина администртора регистрируется $_SESSION['admin'] - для чего? Дальше как она используется? И как вообще можно защитить админку кроме пароля? Достаточно ли проверок на такую сессионную переменую?

И второй вопрос. После логина юзера, что писать в куки? его id ведь недостаточно? можно легко подставить! Помогайте, вся уже замучалась!


Если работаете через механизм сессий, то куки сохраняются автоматически при открытии сессии.

Виктория пишет:
где можно про это доходчиво почитать?

Почитайте книги Котерова (одного из авторов Денвера) по PHP, да и любая книга по языку не обходит стороной механизмы защиты.

(Отредактировано автором: 29 апреля 2011 — 23:46)

 
 
igrok54
Отправлено: 30 апреля 2011 — 11:58
Post Id



Пользователь
Advanced Member


Покинул форум
Сообщений всего: 470
Дата рег-ции: Янв. 2010  
Откуда: Пермь
Репутация: 57




Виктория пишет:
При удачной попытке логина администртора регистрируется $_SESSION['admin'] - для чего? Дальше как она используется? И как вообще можно защитить админку кроме пароля? Достаточно ли проверок на такую сессионную переменую?


Насколько я в курсе, существует два способа авторизации - с помощью сессий и с помощью куков.
Самая простая авторизация с помощью сессий делается через использование связки файлов .htaccess и .htpasswd и не требует никаких дополнительных скриптов. Авторизация через сессии действует до закрытия браузера пользователем. Кроме того, существует возможность реализации авторизации по такому же принципу без использования файла .htpasswd - вместо него используется php-скрипт.

Авторизация через простановку кукисов - примеров в инете много.

Виктория пишет:
И второй вопрос. После логина юзера, что писать в куки? его id ведь недостаточно? можно легко подставить! Помогайте, вся уже замучалась!

Пишите только самое необходимое, чем меньше инфы будет храниться в куки, тем сложнее взломать через украденный кукис. Шифруйте данные, хранящиеся в нем. Связка логин-пароль в незашифрованном виде записывающиеся в куки можно считать дырой в безопасности.

Если нужно - могу поделиться работающими вариантами скриптов авторизации всех описанных типов.
 
 
Виктория
Отправлено: 1 мая 2011 — 15:44
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 22
Дата рег-ции: Нояб. 2009  
Откуда: Россия, Пермь
Репутация: 0




1Bot пишет:
Если работаете через механизм сессий, то куки сохраняются автоматически при открытии сессии.

немножко не поняли вы меня...
1Bot пишет:
Почитайте книги Котерова (одного из авторов Денвера) по PHP, да и любая книга по языку не обходит стороной механизмы защиты.

Спасибо, посмотрю.
igrok54 пишет:
Пишите только самое необходимое, чем меньше инфы будет храниться в куки, тем сложнее взломать через украденный кукис. Шифруйте данные, хранящиеся в нем. Связка логин-пароль в незашифрованном виде записывающиеся в куки можно считать дырой в безопасности.

Просто речь идет вот о чем. Авторизацию я сделала через сессии. Юзер логинится,
md5($_POST['pas']) сравнивается с хранимым паролем в БД, также проверяя соответствует ли введеный емайл, емэйлу хранимомому в БД. Если все ок, я стартутую сессию и кладу туда user['id']. В родительском классе есть функция, которая уже возвращает ассоциативный масив со всеми данными этого юзера. Дак вот. Везде, где мне надо проверить залогинился ли пользователь, я проверяю наличае этого массива (который заполнен от сессионой перименной с айди юзера) и вот теперь речь о куках! Функционал "запомнить меня" при логине я сделала так. В момент авторизации кладу в куку тотже айди и все, а потом уже проверяю: если в куках есть айди, то взять от туда, если нет, то из сессии, а иначе гость.

Виктория пишет:
что писать в куки? его id ведь недостаточно?

Вот он и вопрос. Достаточно ли там id или это легко подменить и зайти под кем угодно? Что туда еще писать, может md5 пароля?

Извините за длинную тираду Смущение

(Отредактировано автором: 1 мая 2011 — 15:46)

 
 
BON
Отправлено: 1 мая 2011 — 16:03
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Виктория, покажите ваш форум !
 
 
Виктория
Отправлено: 1 мая 2011 — 16:12
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 22
Дата рег-ции: Нояб. 2009  
Откуда: Россия, Пермь
Репутация: 0




BON хм, это не форум, это совершенно другое приложение. И оно пока токо на локальной машине. Хорошо
(Добавление)
Так выглядит метод login_user
login_user (Отобразить)

(Отредактировано автором: 1 мая 2011 — 16:26)

 
 
BON
Отправлено: 1 мая 2011 — 16:36
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Виктория, а что это тогда будет? мря прямо интересно
 
 
Виктория
Отправлено: 1 мая 2011 — 16:41
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 22
Дата рег-ции: Нояб. 2009  
Откуда: Россия, Пермь
Репутация: 0




Это будет очень полезный инструмент, которым будут пользоваться многие люди. Секреты пока не раскрываю. Старт намечен на 1 июня.
 
 
BON
Отправлено: 1 мая 2011 — 21:45
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Виктория, а ваш интсрумент будеи платно или бесплатно распространяться?
 
 
shyuser
Отправлено: 1 мая 2011 — 22:49
Post Id


Пользователь
Member


Покинул форум
Сообщений всего: 111
Дата рег-ции: Июль 2009  
Откуда: Лукоянов, Нижегородская область, Россия
Репутация: 16




Виктория, при регистрации пользователя генерируется ключ и добавив его к паролю кодируем md5. В куки добавляем и логин и пароль, но при этом правильность пароля пользователя можно проверить только зная ключ, который хранится на сервере.
Вот часть кода, несколько функций, которые я набросал для своего сайта. Пока только начинаю в php, поэтому не судите строго. Может пригодится.
код (Отобразить)

(Отредактировано автором: 2 мая 2011 — 10:42)

 
 
igrok54
Отправлено: 1 мая 2011 — 23:32
Post Id



Пользователь
Advanced Member


Покинул форум
Сообщений всего: 470
Дата рег-ции: Янв. 2010  
Откуда: Пермь
Репутация: 57




Виктория пишет:
Авторизацию я сделала через сессии. Юзер логинится,
md5($_POST['pas']) сравнивается с хранимым паролем в БД, также проверяя соответствует ли введеный емайл, емэйлу хранимомому в БД. Если все ок, я стартутую сессию и кладу туда user['id']. В родительском классе есть функция, которая уже возвращает ассоциативный масив со всеми данными этого юзера. Дак вот. Везде, где мне надо проверить залогинился ли пользователь, я проверяю наличае этого массива (который заполнен от сессионой перименной с айди юзера) и вот теперь речь о куках! Функционал "запомнить меня" при логине я сделала так. В момент авторизации кладу в куку тотже айди и все, а потом уже проверяю: если в куках есть айди, то взять от туда, если нет, то из сессии, а иначе гость.

Землячка Рот до ушей Ура! , какой смысл делать двойное хранение авторизации - и в сессии и в куки? Зачем? Поясните, плиз, Ваше мнение. ??? Непонял!

(Отредактировано автором: 1 мая 2011 — 23:38)

 
 
Виктория
Отправлено: 2 мая 2011 — 10:20
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 22
Дата рег-ции: Нояб. 2009  
Откуда: Россия, Пермь
Репутация: 0




BON пишет:
Виктория, а ваш интсрумент будеи платно или бесплатно распространяться?

BON он вообще не будет распространятся. Он будет в единственном экземпляре. Участие в проекте полностью бесплатно.

shyuser пишет:
при регистрации пользователя генерируется ключ и добавив его к паролю кодируем md5. В куки добавляем и логин и пароль, но при этом правильность пароля пользователя можно проверить только зная ключ

Вот это очень хорошо! Чтото подобное сделано и в ExBB, только ключ похоже тоже стоит в куки писать. спасибо.

shyuser пишет:
Вот часть кода, несколько функций, которые я набросал для своего сайта.

Ваши функции предназначены для работы с файлами, а я использую бд, про "соль" конечно знаю.


igrok54 пишет:
какой смысл делать двойное хранение авторизации - и в сессии и в куки?

Хм, сессия живет до закрытия страницы в браузере а у кук указано время жизни.
Цитата:
setCookie("tid", $user['id'], time() + 31104000, "/"Подмигивание;

(Отредактировано автором: 2 мая 2011 — 18:55)

 
 
Страниц (2): [1] 2 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« PHP/Perl »

> Похожие темы: Админцентр
Темы Форум Информация о теме Обновление
Защита от регистрации ботов
Решение проблем Ответов: 2
Автор темы: Bookkc
23 февраля 2018 — 08:09
Автор: Bookkc
Дополнения для Админцентра
Модификации и дополнения Ответов: 3
Автор темы: altjo
25 октября 2014 — 13:27
Автор: rch
Защита от копирования изображений!
Решение проблем Ответов: 9
Автор темы: Rutir123
29 декабря 2010 — 13:42
Автор: electron
Защита от хрумера
Решение проблем Ответов: 11
Автор темы: Евген
19 апреля 2010 — 21:33
Автор: yura3d
Защита форума..
Уязвимости Ответов: 21
Автор темы: nikk
22 декабря 2016 — 13:28
Автор: Taki
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.068]     [ ]