Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 30.10.2010, 01:14
Аватар для Slawaq
Профессор
Отправить личное сообщение для Slawaq Посмотреть профиль Найти все сообщения от Slawaq
 
Регистрация: 19.05.2010
Сообщений: 187

Защита сессии пользователя
Короче я думал над тем что в моем приложении(я в одной теме я писал что там не надо будет защита), но я там ошибся)) так как там же идет запрос на сервер чтобы провести игру, в котором передается ид пользователя с которого будут сниматься его очки, так я от подумал как сделать чтобы только данный пользователь имел право провести запрос на игру с данными своего ида, ну короче чтобы только ты мог играть(а не взломщик)))
ну так вот, изучивши SQL запросы, и их использование в PHP(поверхностно, ну так чтобы мне хватало на мои творения))) я придумал вот так ограничивать возможность провидения игры, в БД есть столбик СЕССИОННЫЙ КЛЮЧ, в него записываться ключ, но не созданный рандомом, или самой программой, а пользователем, то есть при установке и первом запуске приложение пользователя извещает что нужно ввести свой СЕССИОННЫЙ ПАРОЛЬ который защищает доступ к его аккаунту и с помощью которого производятся денежные операции(его потом можно будет менять в настройках), после этого, в БД этот ключ вписываться, потом при первой попытке сыграть пользователя просит ввести его ключ чтобы подтвердить свои действия, он вводит и этот ключ сохраняется в куках на текущею сессию браузера, то бишь вводить снова ключ надо будет после перезапуска браузера или же когда ты вообще не с своего компа, ну самое главное заключается в том что операции проходят если только при отправке запроса вводимый СЕССИОННЫЙ КЛЮЧ совпадает с БДшним, и далее, взлом аккаунта может быть уже только такими способами, взлом моей БД(хотя там нечего ломать 6 столбцов 5 из них типа ИНТ, и последняя ТЕКСТ, но когда вписывается то, он не хешируется а шифрируется с помощью encode, ну я просто по другому наверно ещё не умею)))), 2 самый наверно вероятный, подбор пароля акка но наверно это не кому не нужно потому что ты ломаешь только один акк а не как первым способом ВСЕ)), и тем более мне же не страшно вся вина уже тут ложиться на аккаунт, 3 в этой я не уверен, но тут наверно если вирус или нежелательное ПО на компьютере клиента, оно может прочитать куки(НАВЕРНО)) я не много знаю и почти не разбираюсь но мне кажется это реально))), может ещё есть куча способов, но они кажутся по-одинокими и не страшными)

но это я считаю что система вроде нормальная, и даже если с психологической точки смотреть, то если бы мне предлагали бы создавать свой подтверждающий ключ было бы ясно что приложение имеет какую-то систему защищено, чтобы повысило общее доверие к приложению))

прочитавши ещё раз и просмотревши некоторую струю тему на форуме я подумал что всё-таки как-то стрёмно хранить ключ в куках, не находите?)) но выхода кажется как такового и нет)) И да, это, я знаю существует куча систем защит, и наверно ещё больше их обсуждений, но вы пока укажите де могут быть просчёты в моей?)

P.S.: Кто не в теме то ЗИС ИС ВКККК!)) D , чтоб потом не посылали ещё дальше)))
Ответить с цитированием
  #2 (permalink)  
Старый 30.10.2010, 18:05
Аватар для Slawaq
Профессор
Отправить личное сообщение для Slawaq Посмотреть профиль Найти все сообщения от Slawaq
 
Регистрация: 19.05.2010
Сообщений: 187

я как понимаю, эта система всё-таки надёжна, или никто ещё ничего не написал потому что всем лень думать над тем что я написал, ясно, пойду это делать потом если что буду переделывать))
Ответить с цитированием
  #3 (permalink)  
Старый 01.11.2010, 09:01
Новичок на форуме
Отправить личное сообщение для Kolyaj Посмотреть профиль Найти все сообщения от Kolyaj
 
Регистрация: 19.02.2008
Сообщений: 9,177

Это просто невозможно читать, только и всего.
Ответить с цитированием
  #4 (permalink)  
Старый 01.11.2010, 09:23
Аватар для micscr
Профессор
Отправить личное сообщение для micscr Посмотреть профиль Найти все сообщения от micscr
 
Регистрация: 10.09.2009
Сообщений: 1,577

Цитата:
после этого, в БД этот ключ вписываться,
только вписывается не пароль в базу, а хеш пароля с солью.
Типа:
$hash = md5($password . 'Slawaq ');

Вообще не вижу большой разницы с обычной регистрацией. Например зачем хранить ключ в куках, если в них и так будет храниться идентификатор сессии залогиненного в игре юзера.
Ответить с цитированием
  #5 (permalink)  
Старый 12.02.2011, 18:22
Аватар для walik
Профессор
Отправить личное сообщение для walik Посмотреть профиль Найти все сообщения от walik
 
Регистрация: 09.11.2009
Сообщений: 1,101

По моему самая обычная регистрация)) и пользователь вводит самый обычный пароль))

А насчет как авторизовать пользователя:
Или я не правильно понял, но можно и не в куках, а просто в сессии ?
Есть такой массив $_SESSION)) к нему по моему никак нельзя получить доступ если я не ошибаюсь.
__________________
"Всегда пишите код так, будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете."
Мой сертификат :-D клацай
Ответить с цитированием
  #6 (permalink)  
Старый 13.02.2011, 11:34
х.з
Посмотреть профиль Найти все сообщения от dmitriymar
 
Регистрация: 21.11.2010
Сообщений: 4,588

Сообщение от walik
Есть такой массив $_SESSION)) к нему по моему никак нельзя получить доступ если я не ошибаюсь.
ты о какой стороне?
Ответить с цитированием
  #7 (permalink)  
Старый 13.02.2011, 18:46
Аватар для walik
Профессор
Отправить личное сообщение для walik Посмотреть профиль Найти все сообщения от walik
 
Регистрация: 09.11.2009
Сообщений: 1,101

Сообщение от dmitriymar Посмотреть сообщение
ты о какой стороне?
На стороне сервера
__________________
"Всегда пишите код так, будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете."
Мой сертификат :-D клацай
Ответить с цитированием
  #8 (permalink)  
Старый 15.02.2011, 16:49
х.з
Посмотреть профиль Найти все сообщения от dmitriymar
 
Регистрация: 21.11.2010
Сообщений: 4,588

walik,
странно,а как тогда все к нему получают доступ?и работают с сессиями?

Последний раз редактировалось dmitriymar, 15.02.2011 в 16:53.
Ответить с цитированием
  #9 (permalink)  
Старый 15.02.2011, 22:57
Аватар для walik
Профессор
Отправить личное сообщение для walik Посмотреть профиль Найти все сообщения от walik
 
Регистрация: 09.11.2009
Сообщений: 1,101

Цитата:
странно,а как тогда все к нему получают доступ?и работают с сессиями?
С помощью массива $_SESSION[]

Сессии и Кукисы
__________________
"Всегда пишите код так, будто сопровождать его будет склонный к насилию психопат, который знает, где вы живете."
Мой сертификат :-D клацай
Ответить с цитированием
  #10 (permalink)  
Старый 15.02.2011, 23:14
х.з
Посмотреть профиль Найти все сообщения от dmitriymar
 
Регистрация: 21.11.2010
Сообщений: 4,588

Сообщение от walik
Есть такой массив $_SESSION)) к нему по моему никак нельзя получить доступ если я не ошибаюсь.
.........
С помощью массива $_SESSION[]-ответ заставляет задуматься. на вопрос а как же к массиву $_SESSION все получают доступ и работают с ним,следует ответ-С помощью массива $_SESSION[]....
алогизм полный..или с ним работают с помощью негоже,но доступ к нему получить нельзя?))

Последний раз редактировалось dmitriymar, 15.02.2011 в 23:24.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Сессии в AJAX Despod AJAX и COMET 4 03.08.2010 15:03
ссылки получали стиль "visited" только на время сессии alexandr_poskrobka Серверные языки и технологии 7 10.03.2010 08:48
ip пользователя и город demg Элементы интерфейса 2 17.08.2009 16:36
Текущее имя пользователя и домен uniken1 Общие вопросы Javascript 15 24.06.2009 21:17
AJAX и сессии nolka AJAX и COMET 10 16.05.2009 11:56