безопасность веб

[kovalev]

по поводу веб - безопасности: если я авторизировал пользователя, и ему в дальнейшем лень нажимать кнопочки, чтобы входить повторно под своим именем, то я ложу ему в клиент куку, которую затем и читаю, ну и есс решаю, пускать его или нет. То есть получается, безопасность зиждется на наличии в клиенте куки (пусть даже зашифрованной). Не подскажете ли варианты? Ну или где почитать. Заранее спасибо.

[TIGR]

Цитата:

Сообщение от kovalev

...То есть получается, безопасность зиждется на наличии в клиенте куки (пусть даже зашифрованной). ..

зиждется - я чёто слова такого не знаю, можешь по-русски пожалуйста. та и вообще более конкретный вопрос задай, а то не понятно что тебе не ясно.

[kovalev]

Цитата:

Сообщение от TIGR

зиждется - я чёто слова такого не знаю, можешь по-русски пожалуйста. та и вообще более конкретный вопрос задай, а то не понятно что тебе не ясно.

зиждется - основывается. Это и есть русский. Когда еще был не в форме факультатива.
По поводу безопасности интересует такой вопрос - если вот я исхитрился и во время сеанса (хотя наверное и потом также) другого пользователя спер куку и установил себе в браузер, то вроде как я уже и есть другой пользователь для исходной странички. Меня интересуют существующие дополнительные варианты защиты (не теоретические типа по сетчатке глаза) без привязки к IP (пример нашей сети-грубо у всех один), браузеру. То есть привязывается ли кука как-то к компу. Интересуют варианты, практически работающие в инете. Заранее спасибо
p.s. все вышесказанное относится к повторному узнаванию пользователя без ввода с его стороны имени и пароля, то есть какие-то данные должны оставаться у него в клиенте

[Absent]

Юзай хардварный кей на флэшке 8)
ПыСы
На данном этапе вэба, с учётом малости параметров для решения этай задачи, секурных решений практически нет.

[TIGR]

действительно такое слово есть )) не знал.

тут пока действительно нет решений, единсвенное что ты можешь - устранить возможность угона кук.

[ustas]

Цитата:

единсвенное что ты можешь - устранить возможность угона кук

Каким образом? Какими средствами?

[TIGR]

ну хотябы не разрешать выполнение пользовательского джаваскрипта а то на одном сайте солидной как бы компании это было так сказать очень веселой забавой - написать чего нибудь своё, не говоря уже о воровстве этих самых кук )))

[kovalev]

Спасибо ответившим, будем думать )

[PhoeniXX]

Есть еще альтернатива кукам - генерится сессионый уникальный ключ, и добавляется к каждому запросу. Так умеет и PHP, и ASP.Net делать. И ограниченное время жизни сессии. Но опять же - не сложно узнать этот сессионный ключ. Хотя в данном случае он не подойдет

PhoeniXX добавил 01.04.2009 в 21:33
Можешь попробовать генерить кукую, кроме нужно информации еще некую дополнительную - типа версия браузера, что он поддерживает, etc. Все это шифровать и отдавать клиенту.
Еще есть третий вариант - инфокарты. В винде известна как Windows Cardspace. Сайт при регистрации пользователя выдает ему лично его уникальную инфокарту, который виндой (Cardspace-ом) ставиться в локальное хранилище пользователя.
На странице логине размещается <object> с оопределенным идентификатором. При клике пользователя на клиенте запускается CardSpace, который предлагает пользователю выбрать нужную InfoCard-у, и при выборе она передаеться на сервер. По ней можно идентифицировать пользователя, но хранить его сессию можно в параметре запроса\куке с сильно ограниченным временем жизни.

PhoeniXX добавил 01.04.2009 в 22:46
К слову, нужно еще поискать существуют ли open source решения для инфо кард для *nix систем. Если я не ошибаюсь, стандарт открытый, и они должны быть.