Логин пароль cookie шифрование
Подскажите пожалуйста, в какой форме должны хранится логин и пароль пользователя в cookie. Их же надо шифровать?
|
они не должны хранится в кукисах ни при каких условиях
но, к примеру вконтакт ранее хранил мыло в открытом виде, и пароль в md5 в кукисах. сейчас так не делают уже в кукисах следует хранить SESSID как средство сохранения сессии |
Ясно, спасибо Gvozd.
Просто сессиями никогда не пользовался. А вот когда логинятся надо данные как-нибудь шифровать для отправки на сервер? |
Цитата:
для частных случаев есть HTTPS |
Цитата:
upd: SESSID вроде сама кладется в куки? |
Цитата:
как случайное число связанное с сессией поможет препятсвовать краже сессии? собственно говоря не вижу различия между SESSID и случайным числом. оба суть случайные величины, вообще-то |
Цитата:
|
хм
теперь понятнее. но при этом есть проблема при посылке двух одновременных запросов с одинаковым случайным числом, первый из них, изменивший его, заблокирует дальнейшую работу второго запроса. блиц-попытка решить эту проблему у меня вызвала возвращение к небезопасности при перехвате одного запроса то есть если разрешить посылать одновременно два запроса с одним случайным числом, то послав такой же запрос сразу после перехвата, злоумышленник получит случайное число для продолжение сессии, и сможет пользоватся ею до тех пор пока поддерживает у вас есть решение обхода проблемы одновременных запросов, и чтобы было безопасно PS у меня устойчивое чувство, что мы тут занимаемся изобретательством велосипеда, и что уже есть достаточно безопасные схемы поддержания сессии. |
Цитата:
Цитата:
1. При смене рандомного числа, запоминаем прошлое, а так же время запроса. 2. Если приходит запрос с прошлым числом и время больше, например, минуты, прошедшее со времени последнего обновления - сбрасывать доступ. Если меньше минуты - разрешать доступ и так же обновлять число, но не переписывать старое. Т.е. у нас остальные вызовы будут обработаны. 3. Если пришло новое число - пункт 1. Думаю, что минуты вполне достаточно для попытки достучаться до сервера. Если же пользователь больше минуты не обновлял страницу и сессия жива - будет использоваться последнее число, полученное при прошлом обращении. Хочу подчеркнуть, что это очень редкий случай. Думается мне, что безопасность тут не пострадает. Цитата:
|
Цитата:
|
Часовой пояс GMT +3, время: 00:53. |