У меня вопрос про безопасность и cookies

[Livaanderiamarum]

Если человек залогинился его имя и пароль нужно сохранить ему в cookies и чтобы он при каждой попытке зайти на сайт отправлял нам их браузером автоматически и мы бы сразу знали что он залогинен.

Но эти куки можно украсть у человека, за сунуть их к себе в браузер и сидеть на сайте так, как будто ты - он.

По этому нужно как то зашифровать пароли в cookies, а так же привязать их к определенному браузеру и определенной машине.

Можно сделать так, что на сервере при логинивании будет генерится хеш и именно он и будет засовываться в куки. а потом по нему можно идентефицироваться.

Я же хочу собирать данные о машине и браузере, передавать их на серв, там генерить хеш, и уже его засовыать в куки.

А как делаете вы обычно?

[trikadin]

http://www.softtime.ru/bookphp/gl8_1.php

[Livaanderiamarum]

что мне помешает использовать куку друга в своем браузере?

[Keeper]

Ребят, кука сама по себе не безопасна, её легко стырить )

Как вариант - генерить хеш с участием IP.
Вот кстати интересно как том же ВК делается? )

[trikadin]

Livaanderiamarum, ничто не помешает. От тырки кук никто не застрахован.

[devote]

лично я хеш генерю исходя из:

имени пользователя, текущего пароля (тоесть хеша пароля), дополнительный внутренний ключ ( passkey ), идентификатора пользователя.

По принципу получается как в вконтакте, авторизовываем всем и везде. Но в настройках личного кабинета, можно выполнить выход из всех браузеров. Тоесть если я у друга дома зашел в свой акк. и забыл выйти, то придя домой я легко могу выполнить выход из его браузера.

[monolithed]

Сообщение от devote

имени пользователя, текущего пароля (тоесть хеша пароля), дополнительный внутренний ключ ( passkey ), идентификатора пользователя.

Еще нужно IP добавить

[devote]

Сообщение от monolithed

Еще нужно IP добавить

Да но тогда пользователя выкидывать будет после каждого его реконекта, в случае если у него динамический ИП, поэтому добавление ИП обычно оговаривается/решается с заказчиками. Не каждый заказчик захочет иметь сайт где пользователя выкидывает при смене ИП.

[Livaanderiamarum]

Ты учитываешь данные из юзерагента?
Так же интересно как боритесь с переходами по вредоносным ссылкам эмитирующими действия пользователя

[Keeper]

Сообщение от devote

лично я хеш генерю исходя из: имени пользователя, текущего пароля (тоесть хеша пароля), дополнительный внутренний ключ ( passkey ), идентификатора пользователя.

Доп. ключ - для разделения где он зашел (дом, работа, друг) ???