| Visa föregående ämne :: Visa nästa ämne |
| Startad av: |
Meddelande |
Davvus
Medlem i: 2608 dagar
Status: Offline
#719925
|
Skrivet: 2012-01-30 00:34
Ämne: Säkerhetsfråga: lösenord i cookie
|
  |
|
Hej,
Jag har en del sidor som tillåter användare att logga in automatiskt när man besöker sidan. Sättet jag gör detta på är att spara deras lösenord i en cookie.
Lösenordet är självklart hashat + saltat med SHA1. Det jag undrar är om det är en säkerhetsrisk att spara lösenordet på detta vis. Och utifall att det är, hur ska man göra det säkert för användaren samt sidan?
Tack |
|
|
_________________
http://www.flyhour.tv - Titta på miljoner av slumpade youtube klipp enkelt!
http://www.dubstep.nu - Dubstep.nu rekommenderar grymma dubstep låtar varje dag! |
| Till toppen på sidan |
|
uffe_nordholm
Medlem i: 3202 dagar
Status: Offline
#719971
|
|
Skrivet: 2012-01-30 18:15
Ämne:
|
|
|
| Jag har gjort så att jag har lagrat en framslumpat tal i cookien. Detta tal lagrar jag i en databas när användaren loggar in. När användaren loggar ut raderar jag posten i databasen. |
|
|
|
| Till toppen på sidan |
|
Sawny
Medlem i: 1007 dagar
Status: Offline
#719978
|
|
Skrivet: 2012-01-30 20:22
Ämne: Re: Säkerhetsfråga: lösenord i cookie
|
|
|
| Davvus skrev: |
Hej,
Jag har en del sidor som tillåter användare att logga in automatiskt när man besöker sidan. Sättet jag gör detta på är att spara deras lösenord i en cookie.
Lösenordet är självklart hashat + saltat med SHA1. Det jag undrar är om det är en säkerhetsrisk att spara lösenordet på detta vis. Och utifall att det är, hur ska man göra det säkert för användaren samt sidan?
Tack |
Beror på hur starkt saltet är. Om det är över 20 random tecken lär det inte vara så farligt. Cookien borde inte ens gå att få tag på om du inte har ett XSS hål på din sida.
Men är ändå en dum idé. I teorin går det att knäcka lösenordet. Finns bättre lösningar som är mer säkra. |
|
|
_________________
HTML, CSS, PHP, JS |
| Till toppen på sidan |
|
DrPhil
Medlem i: 1863 dagar
Status: Offline
#719980
|
|
Skrivet: 2012-01-30 20:48
Ämne: Re: Säkerhetsfråga: lösenord i cookie
|
|
|
| Sawny skrev: |
| Men är ändå en dum idé. I teorin går det att knäcka lösenordet. Finns bättre lösningar som är mer säkra. |
Istället för att bara säga "det finns bättre lösningar" så kan du väl åtminstone försöka hjälpa till? Även om du har ont om tid så borde du väl kunna ge en länk till en artikel som förklarar åtminstone en av dessa bättre lösningar? Som du har skrivit nu så är ditt "svar" bara onödigt och dumt. |
|
|
_________________
42 |
| Till toppen på sidan |
|
intedinmamma
Medlem i: 1381 dagar
Från: Göteborg
Status: Offline
#719984
|
|
Skrivet: 2012-01-30 21:16
Ämne:
|
|
|
Jag skulle vilja påstå att det är säkrare än användarnamn + lösenord, om man byter ut hashen vid varje lyckad inloggning. Om man ser enbart till lösenordets säkerhet, ser man till hur säker sajten blir så är det ju en lika "dålig" lösning som i stort sett vilket annat sätt att spara lösenord som helst, det är ju bara att sätta sig och surfa in. 
Man måste ju faktiskt inte lagra lösenordet i cookien, det räcker med valfri textsträng. md5(microtime()) är lika svårt att gissa som md5('lösenord'), och gissar man rätt så är det inte mer än just den inloggningen som är nere för räkning. (det låter på uffe_nordholm som att han har en liknande lösning) |
|
|
_________________
Statistiskt sett? Kanske. |
| Till toppen på sidan |
|
|
