Привет, ребята.

Вот озадачился вопросом. На сайте в форме авторизации есть галка, логинеться автоматически. Если ее нажимает пользователь то я перадаю клиентку куки что бы каждый раз при приходе на сайт этого клиента происходил автологин.
Я уже делал это ранее, просто в кукисах передавал логин и пароль, и при повтороном входе получалось так что клиент автологинется. Но такой метод вызывает у меня опасения по безопасности. Кто-нибудь может прочитать кукизы и узнать пароль пользователя. ( Например имея доступ к компу пользователя ).
Какие есть варианты решения этой проблемы.
Я вот думаю можно сгенерировать случайным образом второй пароль, специально для автологина, и уже его передавать клиенту. И его можно например раз в месяц менять.
Таким образом если хакер узнает такой пароль, то он, конечно, залогинеться сможет. Но например поменять основной пароль он не сможет, так как для этого сайт будет запрашивать именно основной пароль повторно. А по прошествии месяца временный пароль перезапишется и хакер потеряет вообще доступ к логину на сайте. ( Если, конечно, его второй раз не стырит ).

Хотелось бы узнать какие есть варианты решения данной ситуации.

Здравствуйте, Эолинн, Вы писали:

Э>Привет, ребята.

Э>Вот озадачился вопросом. На сайте в форме авторизации есть галка, логинеться автоматически. Если ее нажимает пользователь то я перадаю клиентку куки что бы каждый раз при приходе на сайт этого клиента происходил автологин.
Э>Я уже делал это ранее, просто в кукисах передавал логин и пароль, и при повтороном входе получалось так что клиент автологинется. Но такой метод вызывает у меня опасения по безопасности. Кто-нибудь может прочитать кукизы и узнать пароль пользователя. ( Например имея доступ к компу пользователя ).
Э>Какие есть варианты решения этой проблемы.
Э>Я вот думаю можно...

Э>Хотелось бы узнать какие есть варианты решения данной ситуации.

Для начала осознать, что такие вещи как авторизация, аутентификация и криптография — не терпят велосипедов.

Э> Как сделать автологин безопасным.

Безопасным от чего?
чтобы из куков нельзя было прочитать данные? зашифровать их. Ну и желательно добавив в тело куки expire date
или чтобы украв их злоумышленник не смог залогиниться? здесь можно дописать в куку IP. Но это уже от задачи зависит

Здравствуйте, Эолинн, Вы писали:

Э>Хотелось бы узнать какие есть варианты решения данной ситуации.

В ASP.NET эта проблема решается штатными средствами (начать можно отсюда http://blog.falafel.com/asp-net-forms-authentication-in-4-easy-steps/ и дальше гуглить по ключевым словам и MSDN), реализовывать свой собственный механизм аутентификации и управления сессиями без особой необходимости не стоит. А авторизации — тем более.

Здравствуйте, Эолинн, Вы писали:

Э>Я вот думаю можно сгенерировать случайным образом второй пароль, специально для автологина, и уже его передавать клиенту. И его можно например раз в месяц менять.

Еще иногда сохраняют ip клиента с которого прошла авторизация, в случае если ip меняется, пользователя пересылают на страницу авторизации. В MVC для этого достаточно реализовать свой IAuthorizationFilter.

Спасибо ребята. Решил использовать системную авторизацию.

Здравствуйте, Эолинн, Вы писали:

Э>Хотелось бы узнать какие есть варианты решения данной ситуации.

Посмотрите на OAuth 2.0 — там есть возможность отследить момент когда клиентские куки были скомпроментированы.