Сразу бы хотелось заметить, что тема не боян, а логическое продолжение очень похожей темы в разделе PHP, http://forum.vingrad.ru/forum/topic-175317.html. Просто хотелось бы поделиться своими наработками, надеюсь, модераторы форума меня поддержат.
Цель этой статейки объяснить, как можно очень просто создать быструю и защищенную авторизацию пользователя используя ajax и md5. Про то где держать данные пользователя говорилось очень много, кто не знает вкратце это либо кукисы с привязкой к IP и очень ограниченным временем, либо для параноиков в сессии
.Главная цель это защита от перехвата post запроса вирусами. Обычно у разработчика есть выбор: использовать стандартную авторизацию, которая стоит почти на всех CMS и ничем не защищена или защищенные протоколы. Зачастую 2 либо не очень удобно ставить на «простенькие» сайты, либо просто лень
.Суть сей защиты очень проста, нужно хешировать передаваемый пароль на стороне клиента так, что бы его нельзя было переслать повторно (не важно откуда) и собрать такой же хеш можно было спокойно на сервере.
Есть довольно простое решение:
Сервер передаёт хеш IP и форму, пользователь вводит пароль и скрипт считает хеш(хеш IP + хеш(введеный пароль)) и передает вместе с логином на сервер. На сервере находится запись с таким логином и считается хеш аналогично как и на стороне клиента, если хеши совпадают, значит пароль верен (если сейчас кто-то вспомнил про хеш в мускуле, то мое мнение по этому поводу читайте в конце).
Таким образом, повторная отправка возможна только при аналогичном IP. Если ваш сайт простенький то такой защиты хватит за глаза.
НО, если вы разрабатываете деловой сайт, и защита играет не последнюю роль, то стоит призадуматься. Большинство офисов выходят в интернет через прокси, а следовательно у всего здания будет одинаковый IP.
Методов борьбы несколько, можно просто отправлять хеш IP с привязкой ко времени например: хеш(«гггг-мм-дд чч-мм + IP»), а на сервере просто перебрать такой же хешь с этой, предыдущей и предпредыдущей минутой. Таким образом, повторная отправка возможно тока в течение 2-3 минут. По сути это решает проблему, но этот метод мне не очень нравится. Я предпочетаю использовать авторизацию с картинкой.
Это тоже не сложно, есть обычная проверка цифрами на картинке - антибот, но свою функцию она как таковая не исполняет. Итак, сервер в сессию придумывает рандомом число и отправляет клиенту: 1 хеш IP, 2 хеш кода картинки (не обязательно). Пользователь вводит данные и сабмитит, скрипт сначала стандартно проверяет поля на заполненость, потом смотрит, равны ли хеш кода картинки хешу (введенный код пользователя), если нет, то предупреждает пользователя, это конечно не обязательно, но очень удобно.
Данные в этом случае отправляются так
хеш(хеш IP+введенные цифры с картинки(! не хеш естественно)+хеш(пароля))
сервер имеет все эти данные и без труда их сверяет.
Если все это понять, то человеку знакомому с ajax понадобится меньше часа на реализацию сего.
А теперь представьте себе хакера, который ночью пробрался в офис жертвы, полностью ознакомлен с вашей системой защиты и пытается отправлять данные до тех пор пока не получит такой же код картинки
но и тут мы можем банить, например при 50 запросах за 10 минут и эдак на сутки, не придупреждая но это на мой взгляд излишне и просто не гуманно Рассуждение о данных на сервере.
Человек знакомый с этой проблемой сразу подметит, что если кто-то выкрадет хеш пароля с мускула, то после некоторых махинаций с скриптом заполучит себе доступ. Но логично ли это??? эту защиту обычно называют «защитой от своих», почему? а все просто.
Если ваш сайт имеет хотя бы админку, то ему нужен полный доступ к мускулу (права на запись и чтение) и если хакер не дай бог
получит возможность через дыры отправлять sql запросы или просто получит логин и пароль к мускулу, то он получит максимальный доступ и врятли станет переделывать скрипт, а просто создаст себе нового пользователя с правами админа или поменяет пароль у пользователя на время. Хотя бы потому что это быстрее и когда мне надо было зайти на сайт своего производства, где сменили пароли я сделал именно так, хоть у меня и были все исходники. Но все-таки хешировать пароли стоит, чтобы они не лежали открытым текстом и не были так соблазнительны Так же хотелось бы поделится скриптом, который считает md5, чтоб не искать в инете, думаю будет полезен.
Удачи в реализации, надеюсь помог хоть кому то сделать интернет безопасней.
Хеш, вычисляющийся с точностью до минут можно послать через 2 минуты? 