الگوریتم های LogIn امن

amirkhoshhal · Nov 6, 2008

سلام . من واسه LogIn کاربرهام اومدم یوزرنیم و پسورد رو از کاربرا گرفتم و با اطلاعات داخل دیتابیس چک کردم . بعد گفتم اگه درست بودند یه Session ست شه که مقدارش مخلوط id و Username هش شده کاربر باشه . توو پنل هم چک می کنم اگه مقدار Session با همین مخلوط هش شده id و Username کاربر برابر نبود بره به Login.php . می خوام بدونم از لحاظ امنیت این الگوریتم چه مشکلاتی رو داره ؟

اگر هم به جای همین Session که گفتم از Cookie استفاده کنم چی ؟

اگه امکان داره الگوریتم های امن دیگه ای هم که می دونید لطف کنید بگید . یک دنیا ممنون :rose:

aminoia · Nov 6, 2008

یا دم میاد یکی از بچه های همین فروم زحمت کشید و در مورد امنیت مطالبی رو جمع و ارائه کرد ( خدا حفظش کنه )
تو اون مطالب یادم نمی یاد ( شاید من ندیدم - شاید مطالب کامل نبودن ) در مورد محتوی Session گفته بود
خب هرکی بتونه به کلید session دسترسی داشته باشه احتمالآ به محتوای اون هم دسترسی داره
شاید این هش کردن امنیت لازم رو تامین نکنه
به شما توصیه می کنم ( به عنوان یه برادر کوچیکتر ) که برید و اون تایپینگ رو مطالعه کنید

yakoza · Nov 6, 2008

اگه تنظیمات سرورتون خوب باشه فکر نکنم همینی که گفتی مشکلی به وجود بیاره

بعد یه چیز دیگه اونجا که اطلاعات user رو از دیتابیس میگیری و اگر درست بود یه سشن ست میکنی
قبل از ست کردن سشن اینو بزار session_regenerate_id()

یه جا خونده بودم که اینم از لحاظ امنیتی خوبه البته الان یادم نمیاد کجا بود

ziXet · Nov 6, 2008

amirkhoshhal گفت:
سلام . من واسه LogIn کاربرهام اومدم یوزرنیم و پسورد رو از کاربرا گرفتم و با اطلاعات داخل دیتابیس چک کردم . بعد گفتم اگه درست بودند یه Session ست شه که مقدارش مخلوط id و Username هش شده کاربر باشه . توو پنل هم چک می کنم اگه مقدار Session با همین مخلوط هش شده id و Username کاربر برابر نبود بره به Login.php . می خوام بدونم از لحاظ امنیت این الگوریتم چه مشکلاتی رو داره ؟

اگر هم به جای همین Session که گفتم از Cookie استفاده کنم چی ؟

اگه امکان داره الگوریتم های امن دیگه ای هم که می دونید لطف کنید بگید . یک دنیا ممنون

همین روش خوبه!
فقط id و پسورد رو با هم مخلوط کن بعد هش کن دوباره! بعدش تو سشن ست کن.
سشن رو هم با URL نفرست.
همین!

aminoia · Nov 6, 2008

http://forum.majidonline.com/showthread.php?t=79624
خب این اون مقالست که اشاره شو همش چند کلیک اونورتر بود اما گاهی اوقات عدم وجود وقت علت خیلی چیز ها میشه

amirkhoshhal · Nov 6, 2008

سشن رو هم با URL نفرست.

سلام . یک دنیا ممنون از لطف دوستان . Shahkey عزیز می شه این قسمت رو بیشتر توضیح بدی ؟
نظرتون درباره همین روش اما به جای استفاده از Session از کوکی چیه ؟
ممنون

ziXet · Nov 6, 2008

amirkhoshhal گفت:
سلام . یک دنیا ممنون از لطف دوستان . Shahkey عزیز می شه این قسمت رو بیشتر توضیح بدی ؟
نظرتون درباره همین روش اما به جای استفاده از Session از کوکی چیه ؟
ممنون

برای remember از کوکی استفاده کن مشکلی نیست ولی برای انتقال کاربر بین صفحات از سشن استفاده کن.
و سعی کن الگوریتم هشینگ کوکی با سشن فرق کنه

MRB COMPANY · Nov 7, 2008

يه سوال
هشینگ چي هستش؟

parsiteam · Nov 7, 2008

mrb company گفت:
يه سوال
هشینگ چي هستش؟

هش یک نوع کد کردن اطلاعاته که حالا بسته به نوعش یا قابل برگشت به حالت اولیه هست یا نه .
مثلا تابع md5 یک نوع هش از نوع غیر بازگشت است .

parsiteam · Nov 7, 2008

امیر جان به نظر من اگر نوع هش رو همین MD5 انتخاب کنی عالیه . ولی حداقل 3 بار پشت سر هم ازش استفاده کن . یا بهتره یک بار که استفاده کردی مثلا یک عبارت به اون خروجیت اضافه کنی . مثلا وقتی یک بار MD5 زدی بیا عبارت "Salam " رو بهش اضافه کن بعد دوبار دیگه MD5 بکنش . اینطوری فکر هیچ آدم ایزادی بهش نمیرسه .

ولی در کل روشی که استفاده کردی درسته و به نظر من کامله . وفقط باید مواظب باشی جایی سوتی ندی که طرف بفهمه .

موفق باشی .