Недостатки использования cookie (авторизация)

[nike61]

Подскажите, есть ли какие-нибудь недостатки при создание скрипта авторизации с помощью хранения данных в куках?...

[Tokolist]

Они общеизвестны:

1. куки могут быть отключены

2. куки можно просматривать и изменять

[nike61]

По поводу отключенных я понимаю. А вот если я сохраняю в куках захешированные логин, пароль, ip-адрес? Что будет если кто-то просмотрит?

[vartem]

Что будет если кто-то просмотрит?

Тогда он увидит хеш логина, пароля и ip?

Кстати, по поводу ip ? какая необходимость создавать его хеш и засовывать в куки? Его можно вычислять на лету, причем ? никто не будет знать, что ты используешь эту проверку при авторизации. Однако эта проверка наносит ряд ограничений: у некоторых пользователей с каждым заходом в сеть ip меняется в пределах некоторого диапозона, а значит, проверку необходимо делать не по полному ip, а лишь по его части.

Вообще говоря, идеально безопасной авторизации не существует, особенно ? при использовании cookie. Часто рекомендуют также проверять по заголовку ?User Agent?? Если задача авторизации состоит в том, чтобы помнить авторизованного на протяжении только одной сессии работы с сайтом, то стоит задуматься о стандартных методах авторизации пользователя с помощью посылки специальных заголовков?

[nike61]

т.е. передавать со странички на страничку методом post? (через сокеты что ли?)

[vartem]

post, сокеты ? откуда? об этом никто не говорил?

Если речь о моей последней фразе, я имел в виду отправку следующих заголовков:

header("WWW-Authenticate: Basic realm="lalalala"");
header("HTTP/1.0 401 Unauthorized");

и последующуя проверку по переменным:

$_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW']

[dreamer_]

кстати, СЕССИИ (не путать с институтскими )отличная замена кукам..

позволяют передавать данные со странички, на страничку))

[Tokolist]

кстати, СЕССИИ (не путать с институтскими )отличная замена кукам..

позволяют передавать данные со странички, на страничку))

И откуда ты такой умный взялся?

Тебя спрашивают о недостатках кукис, а не о сессиях.

[dreamer_]

я подумал, может кто о них не знает))) и привык пользовать только куки)))

[Wenye]

кстати, СЕССИИ (не путать с институтскими )отличная замена кукам..

позволяют передавать данные со странички, на страничку))

Вообще?то сами сессии строятся на передаче клиенту и получении от него уникального ключа. Ключ, в частности, передается и при помощи печенюшек. Поэтому ни о какой замене говорить нельзя. Ни в коем случае.

[dreamer_]

я о замене алгорритма: вме100 методы "класть что-то в кукис", делаем "класть что-то в сессию", а потом вынуть.. т.о, иногда можно ведь заменить кукисы на сессии!

[Wenye]

я о замене алгорритма: вме100 методы "класть что-то в кукис", делаем "класть что-то в сессию", а потом вынуть.. т.о, иногда можно ведь заменить кукисы на сессии!

Вы путаете немного. Можно хранить данные в сессии, но для это нужно выдавать каждому пользователю уникальный ключ ? по которому можно добраться до ЕГО данных.

Этот ключ пользователь должен будет КАЖДЫЙ РАЗ передавать серверу. Либо в ссылках (путем добавления во все урл страницы конструкции вида "&SESS_KEY=8cbeb278ff40068bc2144e5e0eb73b5c"), либо в кукисах (что не портит вида урлов).

Так, к примеру, работает стандартная система сессий в PHP. Если возможны кукис ? шлет их, нет ? уродует URL.

[Ed]

Как хранятся переменные сессии. Может ли кто-нибудь посмотреть значения этих переменных после закрытия браузера

[Maslakoff]

Нет. "Не может".) (впринципе, можно все) Переменные храняться исключительно на сервере. + практически везде(и на этом форуме юзаются сессии), поэтому юзай их и не задумывайся о защите + можно ещ? и https присобачить)