fare il login con conferma id e password non è un problema
nel mi sito una volta loggati devono poter passare da un livello all'altro quini la session la faccio diventare cookies
cosa è conveniente passare nei cookies e dov'è il rischio protezione?
devo creare un codice aggiuntivo che cambia ogni volta e passso quello?
qualcuno può spiegarmi solo a livello logico cosa fare?
www.moscabianca.biz- riusciremo a competere con i colossi dell'annuncio? un sogno che arriva dal basso
in pratica se creo solo un cookie e poi verifico che abbia un valore è pericoloso?
if ($_COOKIE["login"] == "OK")
{
echo "
Contenuto dell'area privata...</p>";
}
può un malintenzionato creare $_COOKIE["login"] che vale OK e quindi baipassare il login?
www.moscabianca.biz- riusciremo a competere con i colossi dell'annuncio? un sogno che arriva dal basso
Si, puo'.Originariamente inviato da sandroacchiardi
può un malintenzionato creare $_COOKIE["login"] che vale OK e quindi baipassare il login?
Un modo piu' efficace e' registrare nel cookie un identificativo derivato dallo username (ad esempio un hash dello username + una stringa di tua scelta) ed un hash della password e poi ad ogni accesso ad una pagina protetta usi quell'identificatore e quella pass per interrogare il database e vedere se le credenziali sono corrette.
come funziona la hash?
se faccio hash(utente) non si può risalire a utente?
www.moscabianca.biz- riusciremo a competere con i colossi dell'annuncio? un sogno che arriva dal basso
http://uk.php.net/sha1Originariamente inviato da sandroacchiardi
come funziona la hash?
No, tutte le funzioni di hashing sono irreversibili.se faccio hash(utente) non si può risalire a utente?
non capisco una cosa
se uno un hash(utente) e un hash(password+stringa) e li metto nel cookie
come faccio a interrogare il database se non è hash reversibile?
se hash(utente) diventa epr es 78ffd7f78df7d
come faccio a interrogare il database?
grazie
www.moscabianca.biz- riusciremo a competere con i colossi dell'annuncio? un sogno che arriva dal basso
Beh, confronti gli hash no?
forse mi sfugge questo
se un malintenzionato ruba i cookies di password e utente sotto forma di sha1
quindi se
sha(utente) =gguygygyguygygu
sha(password) =3543535
ruberà gguygygyguygygu - e - 3543535
con questi dati no può fare un login
ma può inserirsi nele pagine protette a aprirle o visionarle?
www.moscabianca.biz- riusciremo a competere con i colossi dell'annuncio? un sogno che arriva dal basso
Se uno ruba i cookie puo' accedere per la durata della sessione, ma non puo' risalire allo username originale per effettuare un altro login.Originariamente inviato da sandroacchiardi
forse mi sfugge questo
se un malintenzionato ruba i cookies di password e utente sotto forma di sha1
quindi se
sha(utente) =gguygygyguygygu
sha(password) =3543535
ruberà gguygygyguygygu - e - 3543535
con questi dati no può fare un login
ma può inserirsi nele pagine protette a aprirle o visionarle?
io uso i cookies per vari sottolivelli
quindi quei cookies rubati vanno solo per qiuella sessione?
quindi in realtà si genera un cookies relazionato a quela sesisone?
in linea generale sono meglio i cookies o le sessioni?
le sessioni no sono riuscito a usarle in sottodomini
www.moscabianca.biz- riusciremo a competere con i colossi dell'annuncio? un sogno che arriva dal basso
Permessi di invio
Rispondi quotando