Всем привет!
Написал систему регистрации/авторизации и задался вопросом: «А безопасна ли система» после долгих поисков «идеального» скрипта – решил, что «идеального» не существует. А каждый участник www видит авторизацию по-своему.

Вот что получилось у меня, что-то мне подсказывает, что тут что-то не так 



На остальных страницах сайта скрипт такой же, за исключением части с проверкой $_POST.
Как я понимаю – на каждой странице нужно заново переустанавливать cookies, т.к. их время истечет и они станут неактивными? 

Сув.

PS статью в факе читал, туда не посылайте! 

Добавлено @ 00:33 
Забыл еще рассказать свои критерии:
авторизация должна быть прочной. Но не слишком запудренной. Наверное максимально приближенной к Винградовской. (например открытие сайта в 2 окнах должно поддерживаться) То есть совсем уж пользователя не зажимать!

Однако мне не хочется использовать таблицу БД, т.к. ее нужно будет чистить (cron) да и обращаться лишний раз к БД я не намерен.

Это сообщение отредактировал(а) Рыжий - 6.2.2007, 00:34

После еще нескольких минут медитации над кодом, увидел, что $_COOKIE['pass'] не зашифрован, а должен 
Так что в куку помещаем md5($pass)

Но если куку украдут, разве хацкеры с помощью brootforce не подберут пароль, пусть даже он в md5 ? 

Пожалуйста скажите какой вообще толк хранить логин и пароль в куках ?

сессии для того и сделаны что бы хранить в них что не попадя 

и ещё как писал Mal Hack, хранить в сессии уникальный ключ этой сессии 

допустим


и так как сессии нельзя подделать хранить там цифру говорящую к какой группе пренадлежит человек 
0-->чайник=гость
10-->админ=бог



Далее чувствую будет адская критика моего поста   

Нет, все ее видят одинаково также как и сам разработчик, почти. Просто есть определеные правила защиты, которые ты можешь узнать только тогда, когда будешь знать методы воздействия на систему в качестве злоумышленника.

Его там вообще не должно быть.

http://forum.vingrad.ru/topic-20119.html

Если я не ошибаюсь Винград хранит хеш пароля и логин в куках.

Что же тогда хранить в куках? Ведь узнавать пользователя - как ни крути, а нужно!

Сув.

Это сообщение отредактировал(а) Рыжий - 6.2.2007, 11:34

Идеального скрипта не существует, но есть хорошие и достаточно безопасные. Возьми лубой скрипт авторизации из учебника PHP или скрипты авторизации на форумах посмотри. И посмотри основные принципы. Поверь негде не хранят связку логин и пароль в cookie.

Добавлено @ 11:37 

Это не пароль, это хэш в котором много чего может храниться смотря к чему привязывается программист (к примеру IP, браузер, кодировки и т.д.)

Помещать в cookie ip адрес - значит пользователи с динамичным ip не смогут использовать куку.
Помещать в cookie имя браузера - мне это просто не нужно, пусть люди заходят и с IE и с FF, хоть одновременно!


Это сообщение отредактировал(а) Рыжий - 6.2.2007, 18:54

В любом случае они одновременно не зайдут после одного логина, логиниться необходимо отдельно в каждом браузере, т.к. они (браузеры) куки хранят каждый отдельно.

Смысл был не в этом, смысл в том что не надо хранить пароль в куках. Лучше хранить ID пользователя и уникальный ключ(но не пароль) пользователя и по этим данным проверять пользователя.

Но ведь любую открытую информацию можно подделать. Например если в куках держать логин+email+icq+еще много чего, а другие юзеры видят эту инфу - подделать куку очень просто.
Что же тогда хранить в куках, чтобы узнавать пользователя?

Храни в куках уникальный индификатор пользователя не id, а случайно сгенерированую строку

А как я потом сгенерирую эту строку? И как я узнаю что под строчкой "sdfjkl;dsjfiofi" у меня юзер igor ? В БД мне ничего хранить не хочется 

Один раз за сессию обратиться к БД с данным запросом я думаю можно и производительность от этого неупадет. Тем более при авторизации вы к БД обращаетесь за получением данных пользователя. Что мешает сделать следующее
$query='select * from '.$CONFIG["db_prefix"].'_user where login = "'.$login.'"
        and u_id="'.$u_id.'" limit 1';
u_id генери в зависимости от логина юзера его mail и т.д чтоб одинаковых небыло

Это сообщение отредактировал(а) N1k0laj_BY - 6.2.2007, 23:12

Решил сделать так:
Будет массив Кук:

$_COKIE['my_info'][0] = ID пользователя
$_COOKIE['my_info'][1] = md5($login.' '.$pass);

Выскажите пожалуйста свое мнение.

Алгоритм будет таким: найти юзера с ID == данному, и сравнить хеши, если все ОК - значит ставим сессию, в которую помещаем ID пользователя.

Сув.

Рыжий,  это уже проблемы пользователя, и ты ничего с этим не поделаешь. Это равносильно, что оставлять ключи от сейфа на вешалке в коридоре. Если пользователь пускает на свою тачку всех подряд, то повторюсь - это его проблемы, а не твои.


Да, так и делай.