Кража куков через дыры браузеров. Допустим, юзер логинится на сайте, и сайт ему ставит куки, (например на 1 час)...
Куки с захэшованным паролем хранящимся в БД, (типа никто кроме залогинившегося юзера пароль не знает, даже Админ, а знает только его хэш-сумму, очень удобно :) ) Можно даже логин захэшовать, тогда вообще никто ничего не поймет :)
Допустим, нехорошие кулхацкеры, спёрли через дырки MSIE эти куки, и поставили себе, перезагрузились, и они авторизованы...
Вот вопрос, а как сделать чтобы если куки всетаки СПЁРЛИ, они не заработали на другом компе? (не все-же оперу юзают, да и в ней тоже когда-нибудь дыры найдутся имхо :) )
Как сайт различит компы?
IP: можно подменить, (ИМХО), или если юзер использует прокси - заюзать тот-же прокси сервак, вобщем вариант не подходит (если я не прав - поправьте меня)
Браузер: $_SERVER['HTTP_USER_AGENT'] и $_SERVER['HTTP_ACCEPT_CHARSET'] - а если кулхацкер юзает тот-же браузер? Короче тоже не катит, и на 100% этот вариант тоже не спасет.
Смешать эти 2 варианта - это защита не 100%...
Может еще по каким HTTP-заголовкам различать компы можно, или еще как-нибудь? :)
Во первых, сессии я юзать не хочу для залогинивания, мускул + куки = и так вроде нормально :)
Во вторых, я и без сессии могу поставить куку в браузер, которая удалится после закрытия браузера :)
В третьих, кукисы(даже пусть сессионные) сопрут только во время работы браузера, когда он там будут :)))))
В четвертых - без комментариев O_O
В пятых, у меня тоже динамический IP, а кто даст гарантию что я не заюзаю прокси? (я уже не говорю о методе DirectEx, или как там он правильно называется, но я думаю что такое не прокатит)
В шестых, "Выход" нажать можно, но если куки в браузере, и залогиненный юзер юзает сайт, а в эти секунды у него сперли (НЕ СПЁЛИ, А СКОПИРОВАЛИ) куки, и сайт не отличит 2-х юзеров, последствия будут фатальны, второй поменяет пароль - и здравствуй жопа :)
В седьмых? мне без разницы через что тырят куки (В MSIE6 я и не такое видел O_O)
Разве я не прав? :)
Кстати, полезного ответа я пока не получил :(
Юзер логинится на сервер. Сервер выдаёт юзеру сессионную куку. Юзер закрыл браузер - кука устарела.
Вот например у меня от провайдера идёт динамический IP .
хорошая штука хочу сказать.... в плане защиты от взлома всмысле ))
даже если сопрут куки то подобрать IP с которого я заходил по этим кукам будит давольно таки непросто :)
Сам сказал, что в плюшках хранятся не пароли, а хеш суммы. То есть даже поставив себе цельнотянутую плюшку, хацкер все равно должен будет ввести пароль. Вопрос - нахрен тогда переть плюшки. Отвечает Александр Друзь.