Авторизация: Безопасность.

Что то мне нынче писать стало не о чем. И вот решил написать статью про авторизацию. Да, тут, наверное,
ничего интересного... Но тут очень много нюансов по безопасности.

Ну чтож ближе к делу. В начале я вам приведу псевдокод авторизации:

Находим id пользователя в бд...
Если (в куки есть имя и пароль) то пароль=куки_пароль; имя=куки_имя; записываем_куки; функция_отображения_страницы;
иначе Если (введённый_пароль правильный) выводим страницу пользователя... иначе ошибка_авторизации.
Есть один очень распространённый метод взлома аккаунта. На компьютере жертвы копируем куки, заменяем свои куки и
заходим под именем пользователя. Но есть очень хитрый способ защиты от этого. При записи имени и пароля в куки
мы также генерируем случайное число (rand()) и записываем его в куки и в базу данных. При входе пользователя
сравнивается номер куки и номер в бд. Если они равны, то пользователь заходит в свой аккаунт (+ генерируется новое число).
Когда хакер украл куки (и если пользователь после этого заходил в свой аккаунт) он не сможет зайти потому, что номер
не будет совпадать. Но если пользователь не входил после кражи куки? Тогда хакер сможет без проблем зайти.
Есть ещё один способ. При записи в куки записывается IP пользователя. При входе смотрится IP в куках. Если оно равно IP
пользователя, то тогда отображается страница. Тогда хакер тоже никак не сможет зайти на сайт. Но есть одно НО. Он может
каким-либо способом догадаться, что в какой-то переменной в куках хранится IP и поместить свой (ну, конечно, IP зашифрован,
но он сам может легко зашифровать его, к примеру, функцией md5. Но вы можете сразу пароль шифровать несколькими функциями.
Например md5(base64_encode(md5(base64_encode(строка)))). Хакеру будет трудно узнать, как именно зашифровано. А хакеры, запомните,
очень ленивы. Они тратить время ради этого не будут.). А ещё, если хакеру жутко повезёт, у него окажется тотже IP. Но
тут уж надо иметь самую редкую удачу...

Я вам советую использовать оба эти метода (учтите директиву register_globals[1]). Записывайте их оба в
куки и сравнивайте их оба!

Но, а если хакер знает на каком сайте построена большая база данных с хэшированными паролями (или она есть у него самого)?
Он сможет туда вписать хэш-сумму и ему выдаст пароль. Чтобы защитится от этого существует такое понятие как "соль" (или "мусор").
К хэш-сумме приписывается какой-либо беспорядочный текст (например,rese352sg22p). Тогда когда хакер введёт хэш-сумму он получит
неправильный пароль (или вообще ничего не получит). А вы когда будете проверять пароль из куки убирайте всю соль.

Удачи!

Статья на сайте ForWeb. [1] register_globals.

Автор статьи: неизвестный | Дата публикации: 14:37 14.12.2016 Luxchic.Ru




Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Интересное

Криптовалюта Биткойн. Как государственные институт

Биткойн, не имеющая единого эмиссионного центра и надзорного органа валюта, уже перестаёт быть финансовой экзотикой, «игрушкой компьютерных гиков». В «криптоэкономику», покупку...

Роскошь ли декоративный наливной пол?

Конечно, если рассказывать обо всех преимуществах, которыми обладает декоративный наливной пол, то вам может не хватить всей жизни. Ведь такие свойства как пожаробезопасность, гигиеничность, химическа...

Лечение силой мысли? Роль правильных установок

Люди страдают не от того, что происходит, а от своего отношения к происходящему. Поэтому человек, который в душе уверен, что он болен, — будет болеть. Дух человека является основным стимуля...

Абутилон — неприхотливое комнатное растение

  Листья в растения крупные, очень похожие на кленовые, зеленого или пестрого с белыми пятнами цвета. Большие листовые пластины способны испарять огромное количество влаги, что значительно улучша...

Новости развития информационнного портала:

Наш сайт создан для людей, стремящихся день за днем совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных постов делает наш интернет портал комфортным для просмотра.

Занимательная и познавательная информация, которая сконцентрирована на нашем веб-портале дает возможность ответить на многие интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет причины расходовать большое количество времени для поиска ответа на необходимый для вас вопрос.