Есть простая авторизация на сессиях:



Попросили прикрепить к полям логин и пароль ещё и checkbox. Специально для желающих запомнить их авторизацию, что бы им потом не вводить каждый раз их логин и пароль.

Я так понимаю запомнить данные пользователя можно только через КУКИ?
В таком случае если кто стащит КУКИ может воспользоваться входом в админку.

Ваше мнения или советы , насколько это безопасно и есть ли другие способы?

ты запарил, однако, своим вопросом.

ты сам пользуешься запоминанием? Сколько раз у тебя воровали куки?

da-khosh, это не есть "простая авторизация на сессиях", остальное сказал Чебурген.

Abstract писал(а):

da-khosh, это не есть "простая авторизация на сессиях.

А что это? Вы договаривайте, если начинаете отвечать.

da-khosh писал(а):

Я так понимаю запомнить данные пользователя можно только через КУКИ? В таком случае если кто стащит КУКИ может воспользоваться входом в админку.

Можно через куки. Но я бы не стал хранить там пароль и логин в открытом виде:) Одно из предложений - хранить user_id и хеш аутентификационной информации (например пароля и логина, user_id и пароля).
Отвечая на вопрос, безопасны ли куки для автоавторизации - зависит от проекта. Для системы он-лайн банкинга - нет. Для дом-страницы - достаточно безопасны. Чтобы @#%&...простите, украсть куки нужно прийти к пользователю на машину и скопировать файлы (или заслать трояна ) Согласитесь, если оно того не стоит - никто не будет заниматься этой ерундой.

gregzem, прости, уважаемый, но вообще-то установка сессий из разряда RTFM, как принято выражаться на большинстве программерских форумах. По моему скромному мнению стоит проверить куки клиента, сверить с базой и потом думать об остальном. Хранить пароль и логин в любом виде, хоть закрытом, хоть открытом в куках это, простите, неправильная мысль.

Безопасны ли куки не зависит от проекта, это зависит от несколько иных причин.

Abstractб насколько мне известно, именно пароль хранит, к примеру, данный форум =)

Чебурген, друже, данный форум хранит в куках что? Пароль или сгенерированный UID?

COLT, вот-вот. Ты заметил разницу между стартовым сообщением и своим?;)

COLT, "именно пароль хранит данный форум" в открытом виде в куках?

COLT, прежде всего не выключай аську раньше форума плз, а что касаемо остального, то IMHO (или я заблуждаюсь?) все хором знаем, что по сути в нормально сконструированной шняге в куках хранится (ну да, COLT, md5) UID, но вовсе не пароль.

Уважаемые COLT и Чебурген, я не являюсь специалистом по phpBB и поэтому искренне прошу прощения, если не прав, но таки прошу доказательств того, что именно пароль передаётся кукой в phpBB клиенту.

я обычно еще md5(password.IP.User_Agent)

ну, за этот не могу ручаться, а вбуллетин кладёт в хэш пароль.
поскольку это совершенно очевидное действие, то я предполагаю, что этот - тоже кладёт.
почему пароль в хэше необходим - попробуй догадаться сам

Цитата:

"именно пароль хранит данный форум" в открытом виде в куках?

Abstract, а при чём здесь открытый вид?
будь, пожалуйста, последовательным.

COLT, Чебурген, спасибо за разъяснения, я как-то всё больше по магазинам, теперь и о форумах узнал больше.

не поленился посмотрел куку дефорума
судя по внешнему виду строчка 215kc324e511b830c24aer8reb1e46647a очень похожа на результат работы хэш функции


p.s. разумеется хэш поменял

Андрюш, я искренне говорю спасибо ещё раз. Ты повысил мой образовательный уровень.

Я ж эгоист и только за этим и пришёл недавно на форум.

Ещё раз - спасибо.

В том числе и за то, что только что чуть было не поставил на свой сайт phpBB. Теперь этого не сделаю ни в коем случае.

Abstract, а чего такого ужасного ты тут увидел?

Чебурген, просто ты убедил меня в том, что таки же есть простые истины. Лично я впервые внимательно прочёл куки phpBB и мне это не понравилось.

можешь не отвечать.
я уже понял, что толку от тебя не добьёшься.