cookies ή sessions

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

cookies ή sessions

Δημοσίευση από selemeles » 14 Μαρ 2007 14:19

tix-3- έγραψε:Για το SSL ναι πρεπει να εχει μοναδικη ip
Ενδιαφέρων σαν πληροφορία, αλλά το αποκλείω προσωπικά για ανώτερο λόγο :Ρ
Δεν ρωτάω λοιπόν περισσότερα για το https για να μην είμαι εκτός τόπου και χρόνου ;)

Μια ακόμη όμως απορία...
Αν κάνω κάτι με https και χρησιμοποιήσω Cookies τότε δε μπορεί να επέμβει κάποιος χρήστης;;;
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Άβαταρ μέλους
cpulse
Script Master
Δημοσιεύσεις: 1527
Εγγραφή: 21 Μαρ 2006 19:30
Τοποθεσία: Αθήνα village
Επικοινωνία:

cookies ή sessions

Δημοσίευση από cpulse » 14 Μαρ 2007 14:48

Rapid αν εννοείς τα κόλπα που κάνει η crypt().. είναι δικές τις εμπνεύσεις. Το DES και Blowfish ειναι ciphers.

Selemele το SSL κάνει πολύ δύσκολο να κλέψει κάποιος στοιχεία καθώς μεταφέρονται από τον χρήστη στον server και αντίστροφα. Όμως το cookie αποθηκεύεται στον υπολογιστή του χρήστη. Αν ο χρήστης έχει spyware ή άλλου είδους hackero-προγράμματα.. όλα τα cookies είναι προσπελάσιμα (καιρό ειχα να πω αυτή τη λέξη).

Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

cookies ή sessions

Δημοσίευση από selemeles » 14 Μαρ 2007 15:20

Άρα μοναδική λύση είναι τα session για απόκρυψη πληροφορίας. Σωστά;
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

cookies ή sessions

Δημοσίευση από selemeles » 14 Μαρ 2007 15:33

Ακόμη μια απορία, αυτά που αναφέρθηκαν για one-way τι είναι;
Αν κατάλαβα καλά κωδικοποιείς τα Cookies και τα αποθηκεύεις στον χρήστη. Μετά μπορείς να τα εκμεταλλευτείς ή τζάμπα κόπος;;
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Άβαταρ μέλους
cpulse
Script Master
Δημοσιεύσεις: 1527
Εγγραφή: 21 Μαρ 2006 19:30
Τοποθεσία: Αθήνα village
Επικοινωνία:

cookies ή sessions

Δημοσίευση από cpulse » 14 Μαρ 2007 18:45

Αυτά λέγονται και hashes. Είναι τρόποι να βγάλεις ένα χαοτικό string το οποίο δεν μπορείς να το αποκρυπτογραφήσεις. Μάλιστα είναι έτσι φτιαγμένα που και η ελάχιστη αλλαγή αλλάζει εντελώς το αποτέλεσμα.

Για παράδειγμα το
echo md5('selemes');
βγάζει fa998d4d8e358096cf6a3537bf0ffff5

ενώ το echo md5('Selemes');
βγάζει dce8bce1808b4b629cd49ff8d7d3cd04

Τώρα όταν βλέπεις κάπου αυτά τα strings δεν μπορείς να βρείς από που προήλθαν, γι αυτό λέγονται one-way.

θα μπορούσες για παράδειγμα να βάλεις ένα cookie
setcookie('username', 'selemes', time()+60*60*24*30);
και ένα hashed password
setcookie('hashedpass', md5('selemes'), time()+60*60*24*30);
έτσι αν ο χρήστης θέλει να προσποιηθεί οτι είναι χρήστης του site σου να μην μπορεί να φανταστεί ποιο είναι το σωστό md5.

Βέβαια για να το κάνεις σωστά συνήθως βάζεις αυτό που λέμε salt, δηλαδή ένα παρανίσιο password το οποίο μόνο εσύ το ξέρεις και κανένας άλλος. Πχ

Κώδικας: Επιλογή όλων

$salt = 'ena tyxaio string';
setcookie('username', 'selemes', time()+60*60*24*30);
setcookie('hashedpass', md5($salt . 'selemes'), time()+60*60*24*30);
έτσι όταν μπαίνει ο χρήστης στο site μπορείς να τσεκάρεις αν είναι γνωστός κάπως έτσι

Κώδικας: Επιλογή όλων

$authorized = isset($_COOKIE['username']) && isset($_COOKIE['hashedpass']) && $_COOKIE['hashedpass'] == md5($salt . $_COOKIE['username']);

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

cookies ή sessions

Δημοσίευση από Rapid-eraser » 14 Μαρ 2007 18:48

Gia tnv akribia to kolpo dev to kavei n crypt oute n php.
Avaferomai ka8ara stnv xrisi tou 'slow key schedule' opou ekmetaleftike to project tou OpenBSD av 8imame kala gia tnv xrisi hashed passwords sto leitourgiko sistima, kai tnv edreosi tou se alla leitourgika opos to linux.

Paralipsis mou pou dev avefera fisika to oti prokete protov kai kirios gia cipher algori8mo (2-way encryption) omos afto dev ka8ista lav8asmevi tnv katataksi mou tou blowfish kai sav hash function.
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
cpulse
Script Master
Δημοσιεύσεις: 1527
Εγγραφή: 21 Μαρ 2006 19:30
Τοποθεσία: Αθήνα village
Επικοινωνία:

cookies ή sessions

Δημοσίευση από cpulse » 14 Μαρ 2007 18:53

Rapid-eraser έγραψε:Gia tnv akribia to kolpo dev to kavei n crypt oute n php.
Avaferomai ka8ara stnv xrisi tou 'slow key schedule' opou ekmetaleftike to project tou OpenBSD av 8imame kala gia tnv xrisi hashed passwords sto leitourgiko sistima, kai tnv edreosi tou se alla leitourgika opos to linux.

Paralipsis mou pou dev avefera fisika to oti prokete protov kai kirios gia cipher algori8mo (2-way encryption) omos afto dev ka8ista lav8asmevi tnv katataksi mou tou blowfish kai sav hash function.
Καλά εκει συμφωνούμε! Η κρυπτογραφία είναι ένας μαγικός κόσμος. Εγώ έχω φτιάξει two-way αλγόριθμο με hashes.. όσο έχεις φαντασία σκαρφίζεσαι νέα κόλπα.

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

cookies ή sessions

Δημοσίευση από Rapid-eraser » 14 Μαρ 2007 18:57

Cookies pou exouv givei deliver meso https dev eivai encrypted oxi alla diasfalizeis oti dev 8a to dei to periexo me vo tou kapoio sniffer.

Av se evdiaferei va miv mporei va to kavei alter o xristis 8a prepei va katafigei se kapoio cypher function
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
skeftomilos
Script Master
Δημοσιεύσεις: 2888
Εγγραφή: 07 Ιαν 2005 07:22
Τοποθεσία: Αθήνα

cookies ή sessions

Δημοσίευση από skeftomilos » 14 Μαρ 2007 20:28

Η συμβουλή μου είναι να ξεχάσουμε την κρυπτογράφηση των cookies και να θεωρήσουμε δεδομένο ότι ο χρήστης θα τα παραποιήσει με κάθε δυνατό τρόπο. Απλά φτιάχνουμε στιβαρό server-side κώδικα που ελέγχει εξονυχιστικά το input σα να έχει έρθει από το querystring.
The pure and simple truth is rarely pure and never simple. Ο μη νους δε σκέπτεται μη σκέψεις για το τίποτα.

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

cookies ή sessions

Δημοσίευση από Rapid-eraser » 14 Μαρ 2007 23:29

skeftomilos ++
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
theminio
Δημοσιεύσεις: 150
Εγγραφή: 20 Ιουν 2006 20:26

cookies ή sessions

Δημοσίευση από theminio » 15 Μαρ 2007 00:13

Για ασφάλεια στην πρόσβαση, πχ όταν απαιτείται Login για την πρόσβαση σε κάποιες σελίδες πιστεύω είναι καλύτερα τα sessions.
Τα Cookies είναι για την αναγνώριση του χρήστη όταν εκείνος ξαναμπεί στην σελίδα, να θυμάται κάποια πράγματα για αυτόν κτλ.
Με τα cookies μπορείς πχ να κάνεις το «να με θυμάσαι» που υπάρχει κάτω από την φόρμα του Login σε αρκετά site ..

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες