واضح آرشیو وب فارسی:سایت ریسک: از نظر شما این روش برای امنیت مناسبه؟ meysamk 07 آبان 1389, 09:28به نام خدا با سلام، من می خوام برای ورود کاربر در صورتی که یوزر و پسورد رو درست وارد کرد! Ipیش رو بگیرم و تا مدت مثلاً نیم ساعت از آخرین استفاده همچنان لاگین باشه. حالا به نظر شما این روش امنه؟ ممنون Masoud 1365 07 آبان 1389, 11:32چرا ip ؟ فقط Ip رو ذخیره نکن شما چنتا چیز رو ذخیره کن مثلا ip+رشته هش شده نام کاربری یا ... ! اما در کل من نسبت به کوکی برای تعیین هویت حس خوبی ندارم :wink: چون رو سیستم کاربر ذخیره میشه و تا حدودی بی اطلاعی کاربر که از سایت استفاده میکنه میتونه باعث بشه که امنیت سایت به خطر بیفته ! P.H.P 07 آبان 1389, 12:02به نام خدا با سلام، من می خوام برای ورود کاربر در صورتی که یوزر و پسورد رو درست وارد کرد! Ipیش رو بگیرم و تا مدت مثلاً نیم ساعت از آخرین استفاده همچنان لاگین باشه. حالا به نظر شما این روش امنه؟ ممنون سلام اینکه ip رو ذخیره کنی و بعد از نیم ساعت از آخرین استفاده لاگین بشه خوبه، روش های امن زیادی هست ولی هیچوقت نمیشه گفت امنه امنه. علاوه بر ip، نوع مرورگر هم ذخیره کن. این کار کمک میکنه کاربر توسط 2 مرورگر با یک ip نتونه وارد سیستم بشه موفق. meysamk 07 آبان 1389, 12:59با تشکر از نظرات شما پس میشه گفت روش نسبتاً مناسبیه! mohsenshahab 07 آبان 1389, 13:37البته نگفتی با چی میخوای ذخیره کنی. ولی اگه میخوای از کوکی استفاده کنی .من زیاد حال نمیکنم با کوکی اصلا از اول خوشم نمیومد ار کوکی (البته این مشکل منه) ولی منم میگم به تنهایی ای پی رو ذخیره نکن k2-4u 07 آبان 1389, 15:53یک روش وجود داره که شما . نه از کوکی استفاده می کنی نه session اون هم پنجره authentication هستش. مرورگر خودش شما رو لاگین نگهر می داره این هم مرجع meysamk 07 آبان 1389, 16:17البته بحث لاگین نگه داشتن تنها نیست بلکه امنیت هدف اصلی من برای استفاده از ip هست. در ضمن توی mysql ذخیرش میکنم. اینجوری میشه فهمید چه کسایی آنلاین هستند. Masoud 1365 08 آبان 1389, 00:04البته بحث لاگین نگه داشتن تنها نیست بلکه امنیت هدف اصلی من برای استفاده از ip هست. در ضمن توی mysql ذخیرش میکنم. اینجوری میشه فهمید چه کسایی آنلاین هستند. کابرهای ما که همه ip استاتیک ندارند که برای امنیت شما روی ip مانور میدید ! اگر 2 تا کاربر از یک isp استتفاده کنند ip هاشون یکی میشه ( این نشون دهنده اینه که ip به تنهایی نمیتونه ضامن امنیت بشه ! ) در ضمن شما اگر که سشن رو هم توی دیتا بیس ذخیره کنید کاربران آنلاین رو نیز میتونید شناسایی کنید :wink: meysamk 08 آبان 1389, 14:17این مسئله رو از خاطر برده بودم. خوب اینطوری اگر من لاگین کنم، اونی که ipیش با من مشترکه هم بدون لاگین میتونه وارد شه. خوب حالا یه شناسه ای - چیزی که ویژه هر کامپیوتر باشه نیست که بشه طرف رو شناسایی کرد؟ Masoud 1365 08 آبان 1389, 17:14این مسئله رو از خاطر برده بودم. خوب اینطوری اگر من لاگین کنم، اونی که ipیش با من مشترکه هم بدون لاگین میتونه وارد شه. خوب حالا یه شناسه ای - چیزی که ویژه هر کامپیوتر باشه نیست که بشه طرف رو شناسایی کرد؟ نه ! دوتاشون لاگین نمیشن چون کوکی فقط روی سیستم یکی از اونها ذخیره شده ! ( من کلا گفتم که ip اینجوریه و روی همین حساب اطمینانی بهش نیست ). همونطور که بچه ها گفتند از چنتا چیز برای کوکی استفاده کنید ( ip,time,cdoe,... ) ziXet 08 آبان 1389, 21:43خود سشن هم چیز بدی نیستا! meysamk 09 آبان 1389, 11:34من الان میخوام اینکار رو انجام بدم، ببینید به لحاظ امنیتی مشکلی نداره؟ وقتی کاربر لوگین کرد ipیش ذخیره میشه، همینطور رمزی رو که وارد کرده و درست هم هست تو یه متغییر درون خود کدهای php قرار می گیره. حالا وقتی می خواد به صفحه دیگه ای بره هم ip چک میشه و هم اون رمزی که الان تو متغییر قرار داره دوباره بررسی میشه. P.H.P 09 آبان 1389, 13:401) کاربر لوگین میکه 2) اطلاعات وارد شده چک میشه (فرض میکنیم صحیح است) 3) آدرس IP کاربر + SESSION ID + نوع مرورگر کاربر + ایجاد یک کد رندوم در هنگام ورود و تاریخ آخرین ورود در فیلد های مناسب خودش در بانک اطلاعاتی قرار میگیره 3) session های مورد نظری که باید ایجاد شود: ورود به سیستم (مقدار مناسبtrue, false) نام کاربری (اینکد شده قابل دیکد) (دریافت از رکورد مورد نظر) ای دی رکورد ثبت شده (اینکد شده قابل دیکد) (دریافت از رکورد مورد نظر) و کد رندوم (دریافت از رکورد مورد نظر) ___________________________ اطلاعاتی که باید چک شود که کاربر وارد سیستم است 1) دریافت اطلاعات session های ایجاد شده و چک کردن مقدار مناسب ورود به سیستم، نام کاربری، ID رکورد و کد رندوم و session id (تمامی اطلاعات با رکورد باید یکی باشند) 2) چک کردن اطلاعات خارج از Session مانند (آدرس IP- نوع مرورگر- و چک کردن مدت زمانی که کاربر وارد سیستم شده و در حال استفاده است) کاربر با هر کلیک و ورود به هر بخشی از سایت زمان ورود آن صفر شود در صورتی که 30 دقیقه به هیچکدام از بخش های سایت مراجعه نکرد session ها expire بشن ----------------------------------- اگر ذخیره اطلاعات هنگام ورود قرار داده باشی باید از کوکی استفاده کنی (ذخیره اطلاعات منظور همان Keep me signed in یا Stay signed in):green: یه مقدار به همراه زمان (حدود یک هفته تا 14 روز) به همراه نام کاربری (اینکد شده قابل دیکد) به کوکی ها میدی کاربر وقتی سایت رو مشاهده میکه سیستم اول چک کنه ببینه Session وجود داره یا نه اگه وجود داشت چک میکنه و اطلاعات اگه صحیح بود یعنی ورود با موفقیت در غیر اینصورت logout و اگه session های مورد نظر وجود نداشت کوکی ها رو چک میکنه اگر اطلاعات کوکی درست بود سیستم باید session ها رو مثل توضیح بالا ایجاد کنه موفق. meysamk 09 آبان 1389, 22:32ممنون از جواب کاملتون! باشه جبران کنیم. سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 372]