Diskuze: Je to správný (bezpečný) postup?

PHP PHP Je to správný (bezpečný) postup? American English version English version

Avatar
Mark Vajšbejn:

Zdravím, mám takovou otázku zda je bezpečné přes sušenky ukládat zahashovaný údaj z neznámého čísla něčím saltnutého přihlašující se ho uživatele.

Tento zahashovaný údaj je tímto pádem ukládán uživateli do počítače a pomocí tohoto údaje se ověřuje přes databázi jaké má uživatel jméno (Jestli se v DB nachází záznam s tímto údajem) a uloží ho do sessinu.

Pokud uživatel na webu session s uživatelským jménem má, tak skript projede databázi s tabulkou uživatelů a vytáhne z ní údaj jako je postavení uživatele (admin, uživatel...), email a takové další věci které nikdo vidět krom něj nemá (a mně).

Tak se ptám jestli je tento postup správný, protože session mi na serveru protestuje a po restartu PC se rád promazává jak někdy sám od sebe na serveru tak i u mě v prohlížeči, proto sem zvolil cookie který uživateli s větší šancí zůstane aspoň na určenou dobu. Popřípadě, mám učinit nějaké bezpečnostní opatření, nebo k tomu něco máte? Díky. :)

 
Odpovědět 5.4.2014 21:50
Avatar
Jiří Gracík
Redaktor
Avatar
Odpovídá na Mark Vajšbejn
Jiří Gracík:

Pokud to není MD5ka nebo SHA1, ale třeba alespoň 256-ti bitová SHA2ka, tak by to neměl být problém (v tom smyslu, že by to někdo rozlouskl). Ale chtělo by to spíš sprovoznit session.

Nahoru Odpovědět 5.4.2014 22:03
Creating websites is awesome till you see the result in another browser ...
Avatar
Mark Vajšbejn:

A je nějaká rada na to, jak ten session udržet funkčně na nějakou dobu? Popřípadě je to pravda že si prohlížeč po restartu mění session id? Protože mi to právě moc nevyhovuje, btw. zrovna jsem se na web zkoušel tak trochu nabourat, sice to vyšlo ale to by uživatel musel znát unikátní hash s něčím saltnutým. Takže je to prakticky na 97% nemožné. A ten hash se dá zjistit jen tak že by viděl do uživatelského session storage nebo do mysql databáze kde by si ho opsal.

 
Nahoru Odpovědět 5.4.2014 22:24
Avatar
kashpi
Redaktor
Avatar
kashpi:

session se při každém zavření prohlížeče smaže. Takže na server se posílá zase jiná. Jinak by to asi nemělo ani cenu :)

 
Nahoru Odpovědět 5.4.2014 23:16
Avatar
Marek Z.
Redaktor
Avatar
Marek Z.:

Session se uloží na server, dle lifetime tam také dlouho zůstane (defaultně do zavření prohlížeče). Můžeš to nastavit na rok, týden, ale tu skupinu potom musíš zavolat a obnovit..

Nahoru Odpovědět 5.4.2014 23:20
Chybami se člověk učí, běžte se učit jinam!
Avatar
Michal Žůrek (misaz):

nepletete si náhodou session v PHP a session storeage v JavaScriptu? Pokud vím dobře, tak session id z PHP se ukládá do cookies, které po zavření prohlížeče v paměti zůstanou.

Nahoru Odpovědět 7.4.2014 21:34
Nesnáším {}, proto se jim vyhýbám.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 6 zpráv z 6.