Авторизация через куки, использовать или нет?

@MrViper · Регистрация: 25.04.2013

Студворк — интернет-сервис помощи студентам

Всем привет, делаю сайт, сегодня сделал авторизацию и у меня встал вопрос, читав книгу php глазами хакера, увидел что авторизацию через куки очень легко подделать. У меня есть форма авторизации, в ней есть чек бокс который отвечает за запоминание логина и пароля с помощью куков, написал обработчик авторизации и обработчик авторизации через куки, а сейчас думаю не опасно ли? Ведь если кто-то завладеет чужими куками, то легко можно будет авторизоваться с помощью них? Если я в чем то не прав или не прав вообще, будьте добры, объясните.

За ранее большое спасибо!

@troayn32 · 21.06.2014, 13:35

Вы совсем не правы в том, что храните пароль пользователя на стороне пользователя в открытом виде, это очень плохая практика. Сейчас для защиты куки от перехвата и подделки(подмены) используют множество средств. Например, хранение информации о куках в БД(связывают куки с IP с User-agent и т.п.); "подписывание" куков(т.н. сигнатура) - это результат работы хеш-функции(чаще md5) от конкатенации значений всех куков + секретный ключ, который хранится на сервере, + по желанию IP и User-agent. Этот результат ставится ещё одной кукой(обычное имя sig) и при запросе сервер сверяет хеш от пришедших куков(+ секретный ключ) со значением sig. Если они равны, то подмены куков нет, иначе возможна подмена.

@MrViper · 21.06.2014, 13:41 **[ТС]**

Так вот именно поэтому я и написал, то есть если я свяжу куки например с тем ПК, который сохранил данные куки, то этим способом я сделаю безопасным процесс авторизации? Ведь каждый ПК уникален.

@troayn32 · 21.06.2014, 13:48

Есть железное правило: "Никогда не доверяй пользователю". Я же выше расписал процесс стандартной защиты куков. Куки обычно используются для хранения сеанса пользователя (http и php каждый новый запрос уникален), так вот чтобы один и тот же пользователь был одним пользователем, а не каждый раз новым, и используют куки. Можно вообще всю информацию о куках хранить в БД, а в куке хранить только ссылку на информацию в БД,а дальше скрипт проверяет, не было ли подмены куки-ссылки...

@MrViper · 21.06.2014, 13:52 **[ТС]**

Большое спасибо за разъяснение, буду исправлять

@Programmer_ · 21.06.2014, 20:24

А не проще юзать сесии ?

@MrViper · 21.06.2014, 21:01 **[ТС]**

по этому поводу тоже думал, но задумался не сильно ли они будут грузить сервер, если будет посещаемый сайт?

@Programmer_ · 22.06.2014, 17:05

)) нет не будет ))

@troayn32 · 22.06.2014, 18:16

У сессии короткий срок жизни, и они создавались не для хранения информации, а для создания (HTTP)сессии

Добавлено через 2 минуты

Сообщение от MrViper

по этому поводу тоже думал, но задумался не сильно ли они будут грузить сервер, если будет посещаемый сайт?

Для посещаемого сайта брать сильный сервер

@Programmer_ · 22.06.2014, 18:50

Сообщение от troayn32

Для посещаемого сайта брать сильный сервер

На любом нормальном хостинге стоят хорошие сервера ) Если были мысли ставить свой сервер, что ж успехов ))

@troayn32 · 22.06.2014, 18:58

Посещаемый сайт очень относительная величина нагрузки. 10-20 человек в сутки, включая роботов, тоже посещаемый сайт, но такую нагрузку даже с редактированием изображений средствами PHP при каждой загрузке страницы калькулятор потянет.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279

	Авторизация через куки, использовать или нет? 21.06.2014, 01:34. Показов 3623. Ответов 10 Метки нет (Все метки) Всем привет, делаю сайт, сегодня сделал авторизацию и у меня встал вопрос, читав книгу php глазами хакера, увидел что авторизацию через куки очень легко подделать. У меня есть форма авторизации, в ней есть чек бокс который отвечает за запоминание логина и пароля с помощью куков, написал обработчик авторизации и обработчик авторизации через куки, а сейчас думаю не опасно ли? Ведь если кто-то завладеет чужими куками, то легко можно будет авторизоваться с помощью них? Если я в чем то не прав или не прав вообще, будьте добры, объясните. За ранее большое спасибо! 0

@troayn32 25 / 25 / 9 Регистрация: 18.09.2011 Сообщений: 130
	21.06.2014, 13:35
	Вы совсем не правы в том, что храните пароль пользователя на стороне пользователя в открытом виде, это очень плохая практика. Сейчас для защиты куки от перехвата и подделки(подмены) используют множество средств. Например, хранение информации о куках в БД(связывают куки с IP с User-agent и т.п.); "подписывание" куков(т.н. сигнатура) - это результат работы хеш-функции(чаще md5) от конкатенации значений всех куков + секретный ключ, который хранится на сервере, + по желанию IP и User-agent. Этот результат ставится ещё одной кукой(обычное имя sig) и при запросе сервер сверяет хеш от пришедших куков(+ секретный ключ) со значением sig. Если они равны, то подмены куков нет, иначе возможна подмена. 1

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279
	21.06.2014, 13:41 [ТС]
	Так вот именно поэтому я и написал, то есть если я свяжу куки например с тем ПК, который сохранил данные куки, то этим способом я сделаю безопасным процесс авторизации? Ведь каждый ПК уникален. 0

@troayn32 25 / 25 / 9 Регистрация: 18.09.2011 Сообщений: 130
	21.06.2014, 13:48
	Есть железное правило: "Никогда не доверяй пользователю". Я же выше расписал процесс стандартной защиты куков. Куки обычно используются для хранения сеанса пользователя (http и php каждый новый запрос уникален), так вот чтобы один и тот же пользователь был одним пользователем, а не каждый раз новым, и используют куки. Можно вообще всю информацию о куках хранить в БД, а в куке хранить только ссылку на информацию в БД,а дальше скрипт проверяет, не было ли подмены куки-ссылки... 1

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279
	21.06.2014, 13:52 [ТС]
	Большое спасибо за разъяснение, буду исправлять 0

@Programmer_ 88 / 88 / 34 Регистрация: 22.05.2012 Сообщений: 404
	21.06.2014, 20:24
	А не проще юзать сесии ? 0

@MrViper 56 / 31 / 1 Регистрация: 25.04.2013 Сообщений: 279
	21.06.2014, 21:01 [ТС]
	по этому поводу тоже думал, но задумался не сильно ли они будут грузить сервер, если будет посещаемый сайт? 0

@Programmer_ 88 / 88 / 34 Регистрация: 22.05.2012 Сообщений: 404
	22.06.2014, 17:05
	)) нет не будет )) 0

@troayn32 25 / 25 / 9 Регистрация: 18.09.2011 Сообщений: 130
	22.06.2014, 18:58
	Посещаемый сайт очень относительная величина нагрузки. 10-20 человек в сутки, включая роботов, тоже посещаемый сайт, но такую нагрузку даже с редактированием изображений средствами PHP при каждой загрузке страницы калькулятор потянет. 0