Авторизация: Безопасность.

Что то мне нынче писать стало не о чем. И вот решил написать статью про авторизацию. Да, тут, наверное,
ничего интересного... Но тут очень много нюансов по безопасности.

Ну чтож ближе к делу. В начале я вам приведу псевдокод авторизации:

Находим id пользователя в бд...
Если (в куки есть имя и пароль) то пароль=куки_пароль; имя=куки_имя; записываем_куки; функция_отображения_страницы;
иначе Если (введённый_пароль правильный) выводим страницу пользователя... иначе ошибка_авторизации.
Есть один очень распространённый метод взлома аккаунта. На компьютере жертвы копируем куки, заменяем свои куки и
заходим под именем пользователя. Но есть очень хитрый способ защиты от этого. При записи имени и пароля в куки
мы также генерируем случайное число (rand()) и записываем его в куки и в базу данных. При входе пользователя
сравнивается номер куки и номер в бд. Если они равны, то пользователь заходит в свой аккаунт (+ генерируется новое число).
Когда хакер украл куки (и если пользователь после этого заходил в свой аккаунт) он не сможет зайти потому, что номер
не будет совпадать. Но если пользователь не входил после кражи куки? Тогда хакер сможет без проблем зайти.
Есть ещё один способ. При записи в куки записывается IP пользователя. При входе смотрится IP в куках. Если оно равно IP
пользователя, то тогда отображается страница. Тогда хакер тоже никак не сможет зайти на сайт. Но есть одно НО. Он может
каким-либо способом догадаться, что в какой-то переменной в куках хранится IP и поместить свой (ну, конечно, IP зашифрован,
но он сам может легко зашифровать его, к примеру, функцией md5. Но вы можете сразу пароль шифровать несколькими функциями.
Например md5(base64_encode(md5(base64_encode(строка)))). Хакеру будет трудно узнать, как именно зашифровано. А хакеры, запомните,
очень ленивы. Они тратить время ради этого не будут.). А ещё, если хакеру жутко повезёт, у него окажется тотже IP. Но
тут уж надо иметь самую редкую удачу...

Я вам советую использовать оба эти метода (учтите директиву register_globals[1]). Записывайте их оба в
куки и сравнивайте их оба!

Но, а если хакер знает на каком сайте построена большая база данных с хэшированными паролями (или она есть у него самого)?
Он сможет туда вписать хэш-сумму и ему выдаст пароль. Чтобы защитится от этого существует такое понятие как "соль" (или "мусор").
К хэш-сумме приписывается какой-либо беспорядочный текст (например,rese352sg22p). Тогда когда хакер введёт хэш-сумму он получит
неправильный пароль (или вообще ничего не получит). А вы когда будете проверять пароль из куки убирайте всю соль.

Удачи!

Статья на сайте ForWeb. [1] register_globals.
19:26 21.10.2017



Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Читаемые

Как уложить ламинат своими руками?

В этой статье расскажу о таком важном деле в ремонте, как укладка ламината своими руками. Начну с то...

Лечебные свойства лаванды

Лаванда – многолетний кустарник, родиной которого считаются страны Средиземноморья. Многие столетия ...

Квалифицированная юридическая помощь

Центр судебной защиты бизнесса «Закон и Налоги» является довольно молодой, но стремитель...

«Коктейль» (1988). О бедном бармене замолвим слове

К съемкам в мелодраме «Коктейль» Том Круз подошел уже не в качестве мальчика, но мужа. В...

Виктор Цой солнце.

Памяти Виктора Цоя - кумира молодежи 90-х. Данную заметку, посвященную памяти Виктора Цоя я написал ...

Поиск и удаление вирусов вручную

Пока что я не знаю никого, кто бы прямо или косвенно не пострадал от действий компьютерных вирусов....

Программный Комплекс «Школа Бизнеса» - Ваш личный

Многие предприниматели в России нуждаются в самообразовании в их короткое свободное от работы время....

Почему образ Якова Долгорукого популярен в поэзии

Яков Федорович Долгорукий (1639−1720) — сподвижник Петра I, чья драматичная биограф...

Вкусные рецепты: Цветная капуста фаршированная, Ла

Цветная капуста фаршированнаяКапусту отварить в подсоленной воде до полуготовности и охладитиь. В фа...

Штрих как музыкальный термин: нажимаем на клавишу

Все мы, музыканты, всегда сталкивались с понятием «штрих», поэтому все мы должны знать, ...



О портале:

Наш сайт создан для людей, стремящихся день за днем совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных постов делает наш интернет портал комфортным для просмотра.

Занимательная и познавательная информация, которая сконцентрирована на нашем веб-портале дает возможность ответить на многие интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет причины расходовать большое количество времени для поиска ответа на необходимый для вас вопрос.