NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: Je to správný (bezpečný) postup?

V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.

Aktivity
Avatar
Mark Vajšbejn
Člen
Avatar
Mark Vajšbejn:5.4.2014 21:50

Zdravím, mám takovou otázku zda je bezpečné přes sušenky ukládat zahashovaný údaj z neznámého čísla něčím saltnutého přihlašující se ho uživatele.

Tento zahashovaný údaj je tímto pádem ukládán uživateli do počítače a pomocí tohoto údaje se ověřuje přes databázi jaké má uživatel jméno (Jestli se v DB nachází záznam s tímto údajem) a uloží ho do sessinu.

Pokud uživatel na webu session s uživatelským jménem má, tak skript projede databázi s tabulkou uživatelů a vytáhne z ní údaj jako je postavení uživatele (admin, uživatel...), email a takové další věci které nikdo vidět krom něj nemá (a mně).

Tak se ptám jestli je tento postup správný, protože session mi na serveru protestuje a po restartu PC se rád promazává jak někdy sám od sebe na serveru tak i u mě v prohlížeči, proto sem zvolil cookie který uživateli s větší šancí zůstane aspoň na určenou dobu. Popřípadě, mám učinit nějaké bezpečnostní opatření, nebo k tomu něco máte? Díky. :)

 
Odpovědět
5.4.2014 21:50
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Mark Vajšbejn
Neaktivní uživatel:5.4.2014 22:03

Pokud to není MD5ka nebo SHA1, ale třeba alespoň 256-ti bitová SHA2ka, tak by to neměl být problém (v tom smyslu, že by to někdo rozlouskl). Ale chtělo by to spíš sprovoznit session.

Nahoru Odpovědět
5.4.2014 22:03
Neaktivní uživatelský účet
Avatar
Mark Vajšbejn
Člen
Avatar
Mark Vajšbejn:5.4.2014 22:24

A je nějaká rada na to, jak ten session udržet funkčně na nějakou dobu? Popřípadě je to pravda že si prohlížeč po restartu mění session id? Protože mi to právě moc nevyhovuje, btw. zrovna jsem se na web zkoušel tak trochu nabourat, sice to vyšlo ale to by uživatel musel znát unikátní hash s něčím saltnutým. Takže je to prakticky na 97% nemožné. A ten hash se dá zjistit jen tak že by viděl do uživatelského session storage nebo do mysql databáze kde by si ho opsal.

 
Nahoru Odpovědět
5.4.2014 22:24
Avatar
michalkasparec
Tvůrce
Avatar
michalkasparec:5.4.2014 23:16

session se při každém zavření prohlížeče smaže. Takže na server se posílá zase jiná. Jinak by to asi nemělo ani cenu :)

 
Nahoru Odpovědět
5.4.2014 23:16
Avatar
Uživatel sítě
Tvůrce
Avatar
Uživatel sítě :5.4.2014 23:20

Session se uloží na server, dle lifetime tam také dlouho zůstane (defaultně do zavření prohlížeče). Můžeš to nastavit na rok, týden, ale tu skupinu potom musíš zavolat a obnovit..

Nahoru Odpovědět
5.4.2014 23:20
Chybami se člověk učí, běžte se učit jinam!
Avatar
Michal Žůrek - misaz
Tvůrce
Avatar
Michal Žůrek - misaz:7.4.2014 21:34

nepletete si náhodou session v PHP a session storeage v JavaScriptu? Pokud vím dobře, tak session id z PHP se ukládá do cookies, které po zavření prohlížeče v paměti zůstanou.

 
Nahoru Odpovědět
7.4.2014 21:34
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 6 zpráv z 6.