Авторизация: Безопасность.

Что то мне нынче писать стало не о чем. И вот решил написать статью про авторизацию. Да, тут, наверное,
ничего интересного... Но тут очень много нюансов по безопасности.

Ну чтож ближе к делу. В начале я вам приведу псевдокод авторизации:

Находим id пользователя в бд...
Если (в куки есть имя и пароль) то пароль=куки_пароль; имя=куки_имя; записываем_куки; функция_отображения_страницы;
иначе Если (введённый_пароль правильный) выводим страницу пользователя... иначе ошибка_авторизации.
Есть один очень распространённый метод взлома аккаунта. На компьютере жертвы копируем куки, заменяем свои куки и
заходим под именем пользователя. Но есть очень хитрый способ защиты от этого. При записи имени и пароля в куки
мы также генерируем случайное число (rand()) и записываем его в куки и в базу данных. При входе пользователя
сравнивается номер куки и номер в бд. Если они равны, то пользователь заходит в свой аккаунт (+ генерируется новое число).
Когда хакер украл куки (и если пользователь после этого заходил в свой аккаунт) он не сможет зайти потому, что номер
не будет совпадать. Но если пользователь не входил после кражи куки? Тогда хакер сможет без проблем зайти.
Есть ещё один способ. При записи в куки записывается IP пользователя. При входе смотрится IP в куках. Если оно равно IP
пользователя, то тогда отображается страница. Тогда хакер тоже никак не сможет зайти на сайт. Но есть одно НО. Он может
каким-либо способом догадаться, что в какой-то переменной в куках хранится IP и поместить свой (ну, конечно, IP зашифрован,
но он сам может легко зашифровать его, к примеру, функцией md5. Но вы можете сразу пароль шифровать несколькими функциями.
Например md5(base64_encode(md5(base64_encode(строка)))). Хакеру будет трудно узнать, как именно зашифровано. А хакеры, запомните,
очень ленивы. Они тратить время ради этого не будут.). А ещё, если хакеру жутко повезёт, у него окажется тотже IP. Но
тут уж надо иметь самую редкую удачу...

Я вам советую использовать оба эти метода (учтите директиву register_globals[1]). Записывайте их оба в
куки и сравнивайте их оба!

Но, а если хакер знает на каком сайте построена большая база данных с хэшированными паролями (или она есть у него самого)?
Он сможет туда вписать хэш-сумму и ему выдаст пароль. Чтобы защитится от этого существует такое понятие как "соль" (или "мусор").
К хэш-сумме приписывается какой-либо беспорядочный текст (например,rese352sg22p). Тогда когда хакер введёт хэш-сумму он получит
неправильный пароль (или вообще ничего не получит). А вы когда будете проверять пароль из куки убирайте всю соль.

Удачи!

Статья на сайте ForWeb. [1] register_globals.
19:26 21.10.2017



Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Самое интересное

Как не стать энерговампиром

Может ли одна напрасно светящая лампочка быть причиной климатической катастрофы? «Конечно, нет!» – о...

Газовое оборудование: как выбрать производителя то

Разное газовое оборудование, запорно-регулирующая арматура, регуляторы давления, автоматы управления...

Зачем выходить замуж?

Выходить замуж или не выходить? А для чего, спросите вы, - я и так могу жить с мужчиной, и при этом ...

Средний класс: по ком звонит колокол?

Только ленивый не пишет сегодня о кризисе, экономическом коллапсе и мрачном «завтра» нашей цивилизац...

Одна простая вещь, которая может помочь Вашим соба

Когда мы заводим собаку, мы знаем, что вещи никогда не будут прежними. Уход за животным-это бол...

Вкусные рецепты: Соусы., Пирог орехово-яблочный-сл

Соусы.Соус"Аврора":кетчуп хорошо размешать с йогуртом,добавить соевый соус,соль и перец.Можно добави...

Парковочное оборудование и благоустройство

Средства для благоустройства территории от компании «Арчстиль» На сегодняшний день ярко ...

Современные технологии защиты и контроля времени с

Проблема потерь данных сейчас становится все более актуальной. Чтобы защитить предприятие, многие ру...

Как питаться полезно? 10 правил

Когда человек задумывается о правильном питании, сразу появляется негативная ассоциация: изнурительн...

Бетонирование в зимнее время

Технология заливки бетона в период минусовой температуры окружающей среды рекомендуемая температура ...



Новости развития информационнного портала:

Наш сайт создан для людей, стремящихся день за днем совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных постов делает наш интернет портал комфортным для просмотра.

Занимательная и познавательная информация, которая сконцентрирована на нашем веб-портале дает возможность ответить на многие интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет причины расходовать большое количество времени для поиска ответа на необходимый для вас вопрос.