Сообщение Re: Как сделать автологин безопасным. от 20.11.2014 22:57
Изменено 20.11.2014 23:00 r.kamenskiy
Здравствуйте, Эолинн, Вы писали:
Э>Привет, ребята.
Э>Вот озадачился вопросом. На сайте в форме авторизации есть галка, логинеться автоматически. Если ее нажимает пользователь то я перадаю клиентку куки что бы каждый раз при приходе на сайт этого клиента происходил автологин.
Э>Я уже делал это ранее, просто в кукисах передавал логин и пароль, и при повтороном входе получалось так что клиент автологинется. Но такой метод вызывает у меня опасения по безопасности. Кто-нибудь может прочитать кукизы и узнать пароль пользователя. ( Например имея доступ к компу пользователя ).
Э>Какие есть варианты решения этой проблемы.
Э>Я вот думаю можно...
Э>Хотелось бы узнать какие есть варианты решения данной ситуации.
Для начала осознать, что такие вещи как авторизация, аутентификация и криптография — не терпят велосипедов.
Э> Как сделать автологин безопасным.
Безопасным от чего? чтобы из куков нельзя было прочитать данные? зашифровать их. Ну и желательно добавив в тело куки expire date
Э>Привет, ребята.
Э>Вот озадачился вопросом. На сайте в форме авторизации есть галка, логинеться автоматически. Если ее нажимает пользователь то я перадаю клиентку куки что бы каждый раз при приходе на сайт этого клиента происходил автологин.
Э>Я уже делал это ранее, просто в кукисах передавал логин и пароль, и при повтороном входе получалось так что клиент автологинется. Но такой метод вызывает у меня опасения по безопасности. Кто-нибудь может прочитать кукизы и узнать пароль пользователя. ( Например имея доступ к компу пользователя ).
Э>Какие есть варианты решения этой проблемы.
Э>Я вот думаю можно...
Э>Хотелось бы узнать какие есть варианты решения данной ситуации.
Для начала осознать, что такие вещи как авторизация, аутентификация и криптография — не терпят велосипедов.
Э> Как сделать автологин безопасным.
Безопасным от чего? чтобы из куков нельзя было прочитать данные? зашифровать их. Ну и желательно добавив в тело куки expire date
Re: Как сделать автологин безопасным.
Здравствуйте, Эолинн, Вы писали:
Э>Привет, ребята.
Э>Вот озадачился вопросом. На сайте в форме авторизации есть галка, логинеться автоматически. Если ее нажимает пользователь то я перадаю клиентку куки что бы каждый раз при приходе на сайт этого клиента происходил автологин.
Э>Я уже делал это ранее, просто в кукисах передавал логин и пароль, и при повтороном входе получалось так что клиент автологинется. Но такой метод вызывает у меня опасения по безопасности. Кто-нибудь может прочитать кукизы и узнать пароль пользователя. ( Например имея доступ к компу пользователя ).
Э>Какие есть варианты решения этой проблемы.
Э>Я вот думаю можно...
Э>Хотелось бы узнать какие есть варианты решения данной ситуации.
Для начала осознать, что такие вещи как авторизация, аутентификация и криптография — не терпят велосипедов.
Э> Как сделать автологин безопасным.
Безопасным от чего?
чтобы из куков нельзя было прочитать данные? зашифровать их. Ну и желательно добавив в тело куки expire date
или чтобы украв их злоумышленник не смог залогиниться? здесь можно дописать в куку IP. Но это уже от задачи зависит
Э>Привет, ребята.
Э>Вот озадачился вопросом. На сайте в форме авторизации есть галка, логинеться автоматически. Если ее нажимает пользователь то я перадаю клиентку куки что бы каждый раз при приходе на сайт этого клиента происходил автологин.
Э>Я уже делал это ранее, просто в кукисах передавал логин и пароль, и при повтороном входе получалось так что клиент автологинется. Но такой метод вызывает у меня опасения по безопасности. Кто-нибудь может прочитать кукизы и узнать пароль пользователя. ( Например имея доступ к компу пользователя ).
Э>Какие есть варианты решения этой проблемы.
Э>Я вот думаю можно...
Э>Хотелось бы узнать какие есть варианты решения данной ситуации.
Для начала осознать, что такие вещи как авторизация, аутентификация и криптография — не терпят велосипедов.
Э> Как сделать автологин безопасным.
Безопасным от чего?
чтобы из куков нельзя было прочитать данные? зашифровать их. Ну и желательно добавив в тело куки expire date
или чтобы украв их злоумышленник не смог залогиниться? здесь можно дописать в куку IP. Но это уже от задачи зависит