mam taki problem. Posiadam stronę www do której dostęp jest możliwy tylko po zalogowaniu się. Dostęp do strony ma parę osób którym na to zezwalam, otrzymały ode mnie swój indywidualny login i hasło. Wiem, że jedna z tych osób przekazała swoje dane do logowania komuś, kogo sobie nie życzę na własnej stronie.
Inna rzecz, że użytkownik który spowodował wyciek jest dla mnie wartościowy i nie chcę go stracić. Chciałbym mu nadać nowe dane do logowania ale tak, żeby logować mógł się tylko on.
Jak można zabezpieczyć się przed taką sytuacją? Definiowanie IP nie wchodzi w grę gdyż użytkownicy muszą mieć swobodę logowania się skąd chcą.
Mam dość głupi pomysł, ale kto wie, może się przyda.
Wymuś na użytkowniku na odpowiadanie przy logowaniu na pytanie podobne do tych spotykanych przy odzyskiwaniu haseł. Niech odpowiedzią będzie coś co oboje wiecie, ale on nie chciałby, żeby ta trzecia osoba o tym wiedziała.
Pytań musi być kilka i losowane, ale to i tak żadne zabezpieczenie. Nie ma sposobu aby zezwolić tylko danej osobie na logowanie inaczej jak po loginie/haśle…a że podała te dane komuś innemu…trudno.
No tak się składa, że u mnie użytkownik = klient który zostawia pieniążki i te jak wiadomo nie śmierdzą i w tej sprawie muszę być delikatny. A ten który dostał hasło to konkurencja na niektórych polach…
A jesteś w stanie odczytać IP tego użytkownika na gapę? Zamiast whitelisty, która, jak mówisz, jest nie do przyjęcia, można by po prostu zablokować jedno konkretne IP.
_Puma_ , losowanie i wiele pytań nie są potrzebne. Wystarczy, że odpowiedź zawiera jakieś prywatne informacje, których użytkownik wolałby nie podawać.
I te odpowiedzi ujawni włascicielowi strony? -wątpię.
Skoro autoryzacja po ip odpada, to jw. moze da się zrobic czarną listę i wycinać tylko konkretne ip.
Ale na muj gust, to zmienić hasło temu klientowi i puścić info do wszystkich (zwłaszcza do tego jednego) z prośba by nie udostępniali osobom trzecim loginów i hasel.
Najlepszym pomysłem byłoby zbanowanie tego jednego konkretnego ip. A ip możesz otrzymać tak, że będziesz je zapisywał do pliku tylko dla tego jednego usera, czyli np. w kodzie logowania:
if($login='login')
{
.
.
.
}
I potem w kodzie logowanie jeżeli byś nie chciał odczytywać wszystkich ip (gdy już będziesz znał ip tego usera niepożądanego), też podobnie if.
Pozostaje jeszcze tylko taka opcja że ten user ma zmienne ip, wtedy już chyba nie będzie możliwości zablokowania (przynajmniej nie na takim poziomie), lub będzie pisał z innego komputera z innej sieci.
To według mnie najsensowniejsze rozwiązanie. Ty, tomaloo80 , jesteś w porządku wobec kogoś, więc ta osoba powinna zrozumieć, że wymagasz tego samego także od niej.
dla mnie sprawa jest bez sensu, ktoś jest dla ciebie wartościowy powinien być osoba ze wzajemnym zaufaniem