Авторизация через куки, использовать или нет?

@MrViper · Регистрация: 25.04.2013

Студворк — интернет-сервис помощи студентам

Всем привет, делаю сайт, сегодня сделал авторизацию и у меня встал вопрос, читав книгу php глазами хакера, увидел что авторизацию через куки очень легко подделать. У меня есть форма авторизации, в ней есть чек бокс который отвечает за запоминание логина и пароля с помощью куков, написал обработчик авторизации и обработчик авторизации через куки, а сейчас думаю не опасно ли? Ведь если кто-то завладеет чужими куками, то легко можно будет авторизоваться с помощью них? Если я в чем то не прав или не прав вообще, будьте добры, объясните.

За ранее большое спасибо!

@troayn32 · 21.06.2014, 13:35

Вы совсем не правы в том, что храните пароль пользователя на стороне пользователя в открытом виде, это очень плохая практика. Сейчас для защиты куки от перехвата и подделки(подмены) используют множество средств. Например, хранение информации о куках в БД(связывают куки с IP с User-agent и т.п.); "подписывание" куков(т.н. сигнатура) - это результат работы хеш-функции(чаще md5) от конкатенации значений всех куков + секретный ключ, который хранится на сервере, + по желанию IP и User-agent. Этот результат ставится ещё одной кукой(обычное имя sig) и при запросе сервер сверяет хеш от пришедших куков(+ секретный ключ) со значением sig. Если они равны, то подмены куков нет, иначе возможна подмена.

@MrViper · 21.06.2014, 13:41 **[ТС]**

Так вот именно поэтому я и написал, то есть если я свяжу куки например с тем ПК, который сохранил данные куки, то этим способом я сделаю безопасным процесс авторизации? Ведь каждый ПК уникален.

@troayn32 · 21.06.2014, 13:48

Есть железное правило: "Никогда не доверяй пользователю". Я же выше расписал процесс стандартной защиты куков. Куки обычно используются для хранения сеанса пользователя (http и php каждый новый запрос уникален), так вот чтобы один и тот же пользователь был одним пользователем, а не каждый раз новым, и используют куки. Можно вообще всю информацию о куках хранить в БД, а в куке хранить только ссылку на информацию в БД,а дальше скрипт проверяет, не было ли подмены куки-ссылки...

@MrViper · 21.06.2014, 13:52 **[ТС]**

Большое спасибо за разъяснение, буду исправлять

@Programmer_ · 21.06.2014, 20:24

А не проще юзать сесии ?

@MrViper · 21.06.2014, 21:01 **[ТС]**

по этому поводу тоже думал, но задумался не сильно ли они будут грузить сервер, если будет посещаемый сайт?

@Programmer_ · 22.06.2014, 17:05

)) нет не будет ))

@troayn32 · 22.06.2014, 18:16

У сессии короткий срок жизни, и они создавались не для хранения информации, а для создания (HTTP)сессии

Добавлено через 2 минуты

Сообщение от MrViper

по этому поводу тоже думал, но задумался не сильно ли они будут грузить сервер, если будет посещаемый сайт?

Для посещаемого сайта брать сильный сервер

@Programmer_ · 22.06.2014, 18:50

Сообщение от troayn32

Для посещаемого сайта брать сильный сервер

На любом нормальном хостинге стоят хорошие сервера ) Если были мысли ставить свой сервер, что ж успехов ))

@troayn32 · 22.06.2014, 18:58

Посещаемый сайт очень относительная величина нагрузки. 10-20 человек в сутки, включая роботов, тоже посещаемый сайт, но такую нагрузку даже с редактированием изображений средствами PHP при каждой загрузке страницы калькулятор потянет.

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279

	Авторизация через куки, использовать или нет? 21.06.2014, 01:34. Показов 3601. Ответов 10 Метки нет (Все метки) Всем привет, делаю сайт, сегодня сделал авторизацию и у меня встал вопрос, читав книгу php глазами хакера, увидел что авторизацию через куки очень легко подделать. У меня есть форма авторизации, в ней есть чек бокс который отвечает за запоминание логина и пароля с помощью куков, написал обработчик авторизации и обработчик авторизации через куки, а сейчас думаю не опасно ли? Ведь если кто-то завладеет чужими куками, то легко можно будет авторизоваться с помощью них? Если я в чем то не прав или не прав вообще, будьте добры, объясните. За ранее большое спасибо! 0

@troayn32 25 / 25 / 9 Регистрация: 18.09.2011 Сообщений: 130
	21.06.2014, 13:35
	Вы совсем не правы в том, что храните пароль пользователя на стороне пользователя в открытом виде, это очень плохая практика. Сейчас для защиты куки от перехвата и подделки(подмены) используют множество средств. Например, хранение информации о куках в БД(связывают куки с IP с User-agent и т.п.); "подписывание" куков(т.н. сигнатура) - это результат работы хеш-функции(чаще md5) от конкатенации значений всех куков + секретный ключ, который хранится на сервере, + по желанию IP и User-agent. Этот результат ставится ещё одной кукой(обычное имя sig) и при запросе сервер сверяет хеш от пришедших куков(+ секретный ключ) со значением sig. Если они равны, то подмены куков нет, иначе возможна подмена. 1

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279
	21.06.2014, 13:41 [ТС]
	Так вот именно поэтому я и написал, то есть если я свяжу куки например с тем ПК, который сохранил данные куки, то этим способом я сделаю безопасным процесс авторизации? Ведь каждый ПК уникален. 0

@troayn32 25 / 25 / 9 Регистрация: 18.09.2011 Сообщений: 130
	21.06.2014, 13:48
	Есть железное правило: "Никогда не доверяй пользователю". Я же выше расписал процесс стандартной защиты куков. Куки обычно используются для хранения сеанса пользователя (http и php каждый новый запрос уникален), так вот чтобы один и тот же пользователь был одним пользователем, а не каждый раз новым, и используют куки. Можно вообще всю информацию о куках хранить в БД, а в куке хранить только ссылку на информацию в БД,а дальше скрипт проверяет, не было ли подмены куки-ссылки... 1

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279
	21.06.2014, 13:52 [ТС]
	Большое спасибо за разъяснение, буду исправлять 0

@Programmer_ 88 / 88 / 34 Регистрация: 22.05.2012 Сообщений: 404
	21.06.2014, 20:24
	А не проще юзать сесии ? 0

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279
	21.06.2014, 21:01 [ТС]
	по этому поводу тоже думал, но задумался не сильно ли они будут грузить сервер, если будет посещаемый сайт? 0

@Programmer_ 88 / 88 / 34 Регистрация: 22.05.2012 Сообщений: 404
	22.06.2014, 17:05
	)) нет не будет )) 0

@troayn32 25 / 25 / 9 Регистрация: 18.09.2011 Сообщений: 130
	22.06.2014, 18:58
	Посещаемый сайт очень относительная величина нагрузки. 10-20 человек в сутки, включая роботов, тоже посещаемый сайт, но такую нагрузку даже с редактированием изображений средствами PHP при каждой загрузке страницы калькулятор потянет. 0