Прошу вас оценить надёжность данного способа авторизации. И укажите возможные способы взлома.
И желательно всё таки обойтись без общих фраз, а указать на конкретику.

страница с формой для ввода логина и пароля

сраница администрирования куда осуществляется переход

используй вместо кукисов сессии
иначе злобный хацкер может похитить кукисы у пользователя, установить их себе и поставить неограниченное время жизни.
время жизни сессии ты по крайнер мере контролируешь сам: посему похищение идентификатора сессии даст хакеру намного меньше.
а если добавить еще скытую проверку версий браузера и ос, то все вообще будет отлично

Зачем логин хранить захэшеным?  

Тут у тебя sql-inj на лицо.

Gold Dragon, единственное, что мне пришло в голову, так это то, что после авторизации я могу провести тебе SQL-инъекцию, т.е. тут:


Не забываем эскейпить входные данные!

Добавлено @ 09:25 
И еще:

Ничего не напутал 

ZlojEzh, не люблю я что-то сессии  да и такая серьёзная защита мне не нужна

А фиг его знает   

это как? поясни

то есть?


PS
-=Ustas=-, да, действительно в одном месте лажа   

Да как, открываем файл куков, и дописываем туды sql-запрос, через ' 

Я всегда говорю что нельзя доверять юзерам , ты должен проверять всё что они отправляют. И потом зачем ты отдельно ставишь в куки : логин , пароль , id и тд , помоему "лутше" будет использовать 2 элемента куки , это ID и md5(login+pass) потом когда нужно проверить куки , ты берёшь ID и зашированный login и pass и сверяешь с теми же зашифрованными login и пассом..
Ещё раз говорю , парсь всё что вводит юзер ($_GET,$_POST,Cookie,ну и всякие системные переменные типо браузера и тд (если ты их юзаешь))...

Это сообщение отредактировал(а) sOckets - 28.9.2006, 19:43

-=Ustas=-, если честно, то не понимаю  хочешь сказать что какой-то запрос может выполниться? Приведи пример кода...


sOckets, я всё полностью проверяю что вводит юзер    просто я из примера кода убрал всё лишнее, чтоб не захломлять

Gold Dragon, 
  
пароль не храни в куке!!!!     

Наконец-то я понял что такое SQL-инъекция   
но кстати, это хорошо говорить, когда структуру кода знаешь, а так замучаешься делать


Да хватит тебе...  сколько нужно времени что бы подобрать шести значный цифро-буквенный пароль? 

Да если уж на это пошло, то пароль можно подглядеть или подслущать 

Gold Dragon, тогда можно уверенно говорить что абсолютную защиту к сайту написать не возможно , поэтому можно и без пароля пускать в cpanel сайта , всё равно пароль подлядеть можно 

Например в куках ID пишем (Опера просто создана для работы с куками ;)) наш ID и SQL Запрос , например 99+or+1=1/* , и если авторизация нормально прошла то можно сказать что SQL иньекция есть , затем просто делаем запросы...ну это вопрос времени , да я ещё и не проснулся с утра  блин какой же я бред написал %)

Gold Dragon, короче mysql_real_escape_string тебе в помощь!

Это сообщение отредактировал(а) Kefir - 29.9.2006, 08:57

Ну зачем же так  код совсем не обязательно вообще видеть. Просто цепляем к значению переменной куки апостроф или еще какой-нить служебный символ, и если ошибка вылетела или как-то некорректно отработал скрипт, то можно смело цеплять в этой переменной еще какой-нить дополнительный запрос, например через UNION и анализировать ошибки и тем самым подбираться к структуре таблички  А если еще у пользователя базы данных (по которому коннектиться скрипт) есть права просмотра системных таблиц - то тогда вообще можно рутовый аккаунт получить  так что не забывай про это, злодеи не дремлют )))

Это к чему такие извращения? В этой ситуации можно (даже нужно! ) обойтись банальным intval-ом.

Это сообщение отредактировал(а) -=Ustas=- - 29.9.2006, 10:23

5 символов расшифровываются хорошей программой секунд за 10, на 6 символов уходит до 15 минут, так что не проблема )))

В моем варианте так. Пользователю при авторизации выделяется уникальный идентификатор, при каждой авторизации он разный. В куке хранится только он. Т.е. при всем желании по куке ничего не узнаешь. Не активная сессия удаляется через 15 минут, или блокируется, если пользователь выбрал опцию "запомнить меня". Таким образом если вы зайдете с другого компьютера, то будет заведена новая сессия и ваша старая кука автоматически станет не действительной.

функция login


Процедура авторизации (выполняется при каждой загрузке)


Модуль управления сессиями


функция ChrRandomStr()


Ну и на всякий случай защищаемся от врагов )))

народ, спасибо за свои варианты, но мне хотелось узнать уязвимость своего 

в общем, из всего сказанного я понял, что нужно проверять ещё дополнительно входящие данные... я это делаю, но про  mysql_real_escape_string не знал, спасибо...

На сессиях пока не хочу делать.. так как свободный доступ к компьютеру не очень реально получить по крайней мере в течение 10-15 минут после выхода человека, а куки удаляться через 5 минут. Это просто такие условия в данной ситуации

Добавлено @ 11:46 
G0rinich, извини, но я что-то не пойму никак где основное поле, когда всё верно?

ЗЫ
наверное пятница сказывается 

Скорее всего  Только что покушал.....пакемарить бы.....  

Gold Dragon, дело не в подборе
дело в перехвате куков.
если в куках хранится пароль и id - то перехват приведет к тому что стороний человек получит доступ до смены пароля.
если в куках хранится сессия и id - то перехват приведет к тому, что у стороний человек получит доступ на время жизни сессии.

6 символьный пароль подбереться за пару часов на сильной машине. Если нужно запоминать пользователя, то можно хранить и в куках.

Убедил 

тогда вопрос.. Как мне в моём коде использовать сессии? То есть что и где поменять?

Что значит убедил? А если пользователь не хочет вводить каждый раз данные?  

что значет не хочет... не уже ли трудно ввести логин и пароль? На mail.ru заходят, вводят и ничего страшного 

Добавлено @ 19:25 

ну так как предусмотреть сессии?

Сессию тоже можно перехватить. Даже если это произошло, можно защититься: запомнить при входе ip и сверять его в процессе работы скрипта.

народ, помогите разобраться с логикой. Пытаюсь в этот скрипт засунуть работу с сессиями, но не получается.

Допустим юзер ввёл пароль и логин. Данные ушли на обработку. Сверились с данными в базе - всё в порядке.
До этого я просто записывал в куки пароль и логин с маленькой жизнью. А как мне работать с Сессиями?
Т.е. в место того, чтобы записывать в куки пароль, я должен стартовать сессию и записать значение session_id и потом всегда её проверять, так?

по моему что то я не то делаю

Ну в сессию нужно писать ID и логин пользователя например, и в функции проверки авторизации при каждом переходе пробивать их достоверность. Если хочешь, чтоб был типа автовход, то в куку также можно писать ID и логин.
ЗЫ. Что то не могу уловить твою проблему.

да проблемы нет... просто народ сказал что хранить в куках пароль не очень надёжно.. Вот я подумал-подумал и решил чуть переделать код


вот что получилось, но чувствую что навертел что-то сложно и не правильно, посмотрите плизз

страница с формой


страница администрирования, куда осуществляется переход

ау...  

Gold Dragon, опять жишь, где mysql_escape_stirng() ?! И еще, у тебя тут судя по всему автовхода нет, я правильно понял?!

про mysql_escape_stirng() забыл 

Автовхода не будет.. 

А как насчет кода? Что-то по моему не то... Посмотрите пожалуйста.

Gold Dragon, впринципе то все ништяк, только мне вот не понятно одно, зачем хеш от паса хранить в сессии, а остальные данные в куках. Поясни причину такого разделения, ИМХО, я бы все держал в сессиях, зачем пользователю видеть лишнюю информацию (об авторизации) у себя на тачке?! Но это ИМХО, а так... придраться вроде не к чему ;)

а как он их похитит?... (это не сарказм, мне реально интересно... как? Я просто сам тут ставил в куки пароль  )
а вот теперь наткнулся на эту тему и очень заинтересовался...

Уметь надо) XSS решает

Это сообщение отредактировал(а) skifoz - 26.11.2006, 00:04

Народ, извините за нубский вопрос  ,
что означает знак "?" и знак ":" в этом выражении?...

это тоже самое что и 

Нет, решает addslashes();. Ха-ха.  

Кто вообще придумал этот укороченный вариант записи условий? Вообще он какой-то не такой...  

ааа типо тернарный оператор? (или тренарный... хз как то так  )

это дело вкуса, но мне очень нравится 

Вопрос, вот тоже сейчас все дырки залатываю, и задумался о куках, в принцепе их не так много, и больше меня интересует кука с ИД сессией, может ли недоброжелатель изменив значение, как-нибудь напакостить?

Можно  Существуют sql-injection через кукисы. Нужно и их фильтровать.

Ockonal, ну какой смысл писать в тему, которой два года? Ладно этот бедолага - его собственные темы закрывают за глупость и хамство - он по чужим шарахается. А ты-то чего?
Тему инъекции через куки давно в этом топике обсосали. Только о ней речь и шла. Всё решили. Зачем повторяться?
Зачем вообще размышлять - через что инъекции существуют, а через что - не существуют? Какая разница? Синтаксис надо соблюдать. Тогда и инъекций не будет. Данные, подставляемые в запрос, должны быть соответствующим образом обработаны. Точка. Откуда они поступили - неважно. Вы все думаете, почему-то, ОТКУДА поступили данные. А думать надо - КУДА.

К тому же, вопрос этого бедолаги похоже, не про инъекции, а про другое. Но тут замечательно подойдет первая строчка из твоей подписи. 



Это сообщение отредактировал(а) Feldmarschall - 23.8.2008, 09:15

Ockonal, ну про кукисные инъекции я знаю, вопрос в другом, в ИД сессии, её я сам как бы не где не использую, по этому и не знаю, можно ли вообще её как-нибудь так написать, чтоб напакостить?

Это сообщение отредактировал(а) skyboy - 23.8.2008, 11:04

Мне кажется достаточно поставить проверку по IP и все проблемы решаться... Даже если кто нибудь и получит куки, IP совпадать не будет, ну естественно IP не нужно записывать в КУку, а например куданибудь в базу данных или даже в файл... 

Это сообщение отредактировал(а) lukas - 23.8.2008, 10:13

lukas, ИП... есть у нас тута один сайт, там так делают... если чесно, очень сильно бесит... я вот думаю по данным каким-нибудь клиентским...

есть такие провайдеры где ип меняется,
Ни по каким данным ты не проверишь. Все данные приходящие от клиента можно подменить. Поэтому и есть куки, в них храниться основная инфа об авторизации. Чтобы не логиниться по сто раз. 

Feldmarschall,
Я, конечно, извиняюсь, но зачем сразу такая реакция?
У меня эта тема была в rss, я и перешел... Знаю, виновен, я не читал тему с самого начала - исправлюсь.
p.s. сорри за оффтоп.