از نظر شما این روش برای امنیت مناسبه؟

meysamk · Oct 29, 2010

به نام خدا

با سلام،
من می خوام برای ورود کاربر در صورتی که یوزر و پسورد رو درست وارد کرد! Ipیش رو بگیرم و تا مدت مثلاً نیم ساعت از آخرین استفاده همچنان لاگین باشه.
حالا به نظر شما این روش امنه؟

ممنون

Masoud1365 · Oct 29, 2010

چرا ip ؟ فقط Ip رو ذخیره نکن شما چنتا چیز رو ذخیره کن مثلا ip+رشته هش شده نام کاربری یا ... !
اما در کل من نسبت به کوکی برای تعیین هویت حس خوبی ندارم :wink:

چون رو سیستم کاربر ذخیره میشه و تا حدودی بی اطلاعی کاربر که از سایت استفاده میکنه میتونه باعث بشه که امنیت سایت به خطر بیفته !

P.H.P · Oct 29, 2010

meysamk گفت:
به نام خدا

با سلام،
من می خوام برای ورود کاربر در صورتی که یوزر و پسورد رو درست وارد کرد! Ipیش رو بگیرم و تا مدت مثلاً نیم ساعت از آخرین استفاده همچنان لاگین باشه.
حالا به نظر شما این روش امنه؟

ممنون

سلام

اینکه ip رو ذخیره کنی و بعد از نیم ساعت از آخرین استفاده لاگین بشه خوبه، روش های امن زیادی هست ولی هیچوقت نمیشه گفت امنه امنه.

علاوه بر ip، نوع مرورگر هم ذخیره کن. این کار کمک میکنه کاربر توسط 2 مرورگر با یک ip نتونه وارد سیستم بشه

موفق.

meysamk · Oct 29, 2010

با تشکر از نظرات شما
پس میشه گفت روش نسبتاً مناسبیه!

mohsenshahab · Oct 29, 2010

البته نگفتی با چی میخوای ذخیره کنی. ولی اگه میخوای از کوکی استفاده کنی .من زیاد حال نمیکنم با کوکی
اصلا از اول خوشم نمیومد ار کوکی (البته این مشکل منه)
ولی منم میگم به تنهایی ای پی رو ذخیره نکن

k2-4u · Oct 29, 2010

یک روش وجود داره که شما . نه از کوکی استفاده می کنی نه session
اون هم پنجره authentication هستش.
مرورگر خودش شما رو لاگین نگهر می داره
این هم مرجع
http://php.net/manual/en/features.http-auth.php

meysamk · Oct 29, 2010

البته بحث لاگین نگه داشتن تنها نیست بلکه امنیت هدف اصلی من برای استفاده از ip هست.
در ضمن توی mysql ذخیرش میکنم. اینجوری میشه فهمید چه کسایی آنلاین هستند.

Masoud1365 · Oct 30, 2010

meysamk گفت:
البته بحث لاگین نگه داشتن تنها نیست بلکه امنیت هدف اصلی من برای استفاده از ip هست.
در ضمن توی mysql ذخیرش میکنم. اینجوری میشه فهمید چه کسایی آنلاین هستند.

کابرهای ما که همه ip استاتیک ندارند که برای امنیت شما روی ip مانور میدید ! اگر 2 تا کاربر از یک isp استتفاده کنند ip هاشون یکی میشه ( این نشون دهنده اینه که ip به تنهایی نمیتونه ضامن امنیت بشه ! )
در ضمن شما اگر که سشن رو هم توی دیتا بیس ذخیره کنید کاربران آنلاین رو نیز میتونید شناسایی کنید :wink:

meysamk · Oct 30, 2010

این مسئله رو از خاطر برده بودم. خوب اینطوری اگر من لاگین کنم، اونی که ipیش با من مشترکه هم بدون لاگین میتونه وارد شه.
خوب حالا یه شناسه ای - چیزی که ویژه هر کامپیوتر باشه نیست که بشه طرف رو شناسایی کرد؟

Masoud1365 · Oct 30, 2010

meysamk گفت:
این مسئله رو از خاطر برده بودم. خوب اینطوری اگر من لاگین کنم، اونی که ipیش با من مشترکه هم بدون لاگین میتونه وارد شه.
خوب حالا یه شناسه ای - چیزی که ویژه هر کامپیوتر باشه نیست که بشه طرف رو شناسایی کرد؟

نه ! دوتاشون لاگین نمیشن چون کوکی فقط روی سیستم یکی از اونها ذخیره شده ! ( من کلا گفتم که ip اینجوریه و روی همین حساب اطمینانی بهش نیست ).
همونطور که بچه ها گفتند از چنتا چیز برای کوکی استفاده کنید ( ip,time,cdoe,... )

ziXet · Oct 30, 2010

خود سشن هم چیز بدی نیستا!

meysamk · Oct 31, 2010

من الان میخوام اینکار رو انجام بدم، ببینید به لحاظ امنیتی مشکلی نداره؟

وقتی کاربر لوگین کرد ipیش ذخیره میشه، همینطور رمزی رو که وارد کرده و درست هم هست تو یه متغییر درون خود کدهای php قرار می گیره. حالا وقتی می خواد به صفحه دیگه ای بره هم ip چک میشه و هم اون رمزی که الان تو متغییر قرار داره دوباره بررسی میشه.

P.H.P · Oct 31, 2010

1) کاربر لوگین میکه
2) اطلاعات وارد شده چک میشه (فرض میکنیم صحیح است)
3) آدرس IP کاربر + SESSION ID + نوع مرورگر کاربر + ایجاد یک کد رندوم در هنگام ورود و تاریخ آخرین ورود در فیلد های مناسب خودش در بانک اطلاعاتی قرار میگیره
3) session های مورد نظری که باید ایجاد شود:
ورود به سیستم (مقدار مناسبtrue, false)
نام کاربری (اینکد شده قابل دیکد) (دریافت از رکورد مورد نظر)
ای دی رکورد ثبت شده (اینکد شده قابل دیکد) (دریافت از رکورد مورد نظر)
و کد رندوم (دریافت از رکورد مورد نظر)
___________________________

اطلاعاتی که باید چک شود که کاربر وارد سیستم است
1) دریافت اطلاعات session های ایجاد شده و چک کردن مقدار مناسب ورود به سیستم، نام کاربری، ID رکورد و کد رندوم و session id (تمامی اطلاعات با رکورد باید یکی باشند)
2) چک کردن اطلاعات خارج از Session مانند (آدرس IP- نوع مرورگر- و چک کردن مدت زمانی که کاربر وارد سیستم شده و در حال استفاده است)

کاربر با هر کلیک و ورود به هر بخشی از سایت زمان ورود آن صفر شود
در صورتی که 30 دقیقه به هیچکدام از بخش های سایت مراجعه نکرد session ها expire بشن

-----------------------------------

اگر ذخیره اطلاعات هنگام ورود قرار داده باشی باید از کوکی استفاده کنی (ذخیره اطلاعات منظور همان Keep me signed in یا Stay signed in) :green:

یه مقدار به همراه زمان (حدود یک هفته تا 14 روز) به همراه نام کاربری (اینکد شده قابل دیکد) به کوکی ها میدی
کاربر وقتی سایت رو مشاهده میکه سیستم اول چک کنه ببینه Session وجود داره یا نه
اگه وجود داشت چک میکنه و اطلاعات اگه صحیح بود یعنی ورود با موفقیت در غیر اینصورت logout

و اگه session های مورد نظر وجود نداشت کوکی ها رو چک میکنه

اگر اطلاعات کوکی درست بود سیستم باید session ها رو مثل توضیح بالا ایجاد کنه

موفق.