Jak wykonać bezpieczne zapamiętywanie logowania w PHP?


(Saver) #1

Jak wykonać bezpieczne zapamiętywanie logowania w PHP?

Czyli jak ktoś kliknie "Zapamiętaj mnie" to po wyjściu z strony i po ponownym wejściu nadal jesteśmy zalogowani.

Dziękuje @athei :slight_smile:


(Anddezr+Dobreprogramy Pl) #2

(system) #3

Z tym jest taki mały problem, że jeżeli ktos jest w stanie podsłuchać to co wysyła nasza przeglądarka, to jest w stanie "ukraść" naszego cookiego i tym samym mieć nieograniczony dostęp do naszego konta.

W 22 linijce skryptu config.php jest takie coś:

$cookie_name = 'siteAuth';

Generalnie lepiej jako cookie_name podać jakis "fingerprint" naszego komputera typu hasz(ip_kompa . typ_przeglądarki . może coś jeszcze).

Wtedy jeśli ktoś używa naszego ciastka ale na swojej maszynie to możemy rozpoznać czy jest prawowitym właścicielem tego ciastka czy nie.

Oczywiście jeżeli kompy atakującego i nasz są za tym samym routerem to ip jest takie samo a nagłówki http (typ przeglądarki) łatwo zmienić ale to jest tylko przykład, żeby mieć takie rzeczy na uwadze.