Защита данных аутентификации и идентификации пользователя

@sct · Регистрация: 16.06.2015

Author24 — интернет-сервис помощи студентам

Доброго времени суток!
Стал изучать вопрос аутентификации и идентификации пользователей на сайте. Нашел множество информации, но не хватает квалификации отделить плевел от зерен…
Вопрос в том какие данные лучше хранить после аутентификации пользователя, где и как максимально их защити?..
Все что нашел это использование сессий и кук, но и те и другие можно подделать… Ясно что частично это можно исправить использовав шифрованием, но насколько это увеличит безопасность?
Есть ли еще какие ни будь методы хранения данных и какие методы защиты еще существуют?

crautcher · 16.06.2015, 16:07

Сообщение от sct

Все что нашел это использование сессий и кук, но и те и другие можно подделать…

Как ты подделаешь сессию?

@sct · 16.06.2015, 16:31 **[ТС]**

Сразу оговорюсь мне просто интересны методы защиты, практическая реализация не нужна. Так что если есть просто ссылки на хорошие статьи буду очень рад и благодарен.

Передам существующий идентификатор сессии. Например отрублю куки и сделаю как пример так: /index.php?PHPSESSID=9ebca8bd62c830d3e79272b4f585ff8f

Понятно что подобрать его это беда беда, но как то же решается этот вопрос в проектах с большим трафиком.

crautcher · 16.06.2015, 16:41

PHP

1	9ebca8bd62c830d3e79272b4f585ff8f

Как думаешь, сколько комбинаций? Быстрее подобрать логин пароль...

Сессии обычной вполне хватает, иначе-бы индикатор длиннее сделали изначально. Но можешь быть параноиком, хранить не индикатор сесии, а ее key1 в 255 символов + какойнить key2 в 255 символов. Лезть в базу, доставать по ключам индикатор и активировать сессию по нему. +Опять таки, быстрее-же подбирать логин + пороль, кому сдалась сессия?

@sct · 17.06.2015, 13:16 **[ТС]**

Ну в сессиях разная инфа может хранится..
А так это конечно тоже решение хоть и с костылем. Может есть вообще какая то альтернатива сессиям? Например тот же vk тоже сессии используют или как то по другому выкручиваются?..

@troayn32 · 23.06.2015, 21:30

Единственное, что повышает безопасность веб-приложения, это ssl сертификат, всё остальное детский сад.

@sct 0 / 0 / 0 Регистрация: 16.06.2015 Сообщений: 3
		1
	Защита данных аутентификации и идентификации пользователя 16.06.2015, 12:02. Показов 771. Ответов 5 Метки нет (Все метки) Доброго времени суток! Стал изучать вопрос аутентификации и идентификации пользователей на сайте. Нашел множество информации, но не хватает квалификации отделить плевел от зерен… Вопрос в том какие данные лучше хранить после аутентификации пользователя, где и как максимально их защити?.. Все что нашел это использование сессий и кук, но и те и другие можно подделать… Ясно что частично это можно исправить использовав шифрованием, но насколько это увеличит безопасность? Есть ли еще какие ни будь методы хранения данных и какие методы защиты еще существуют? 0

crautcher 2432 / 2282 / 594 Регистрация: 27.05.2011 Сообщений: 7,801
	16.06.2015, 16:07	2
	Сообщение от sct Все что нашел это использование сессий и кук, но и те и другие можно подделать… Как ты подделаешь сессию? 0

@sct 0 / 0 / 0 Регистрация: 16.06.2015 Сообщений: 3
	16.06.2015, 16:31 [ТС]	3
	Сразу оговорюсь мне просто интересны методы защиты, практическая реализация не нужна. Так что если есть просто ссылки на хорошие статьи буду очень рад и благодарен. Передам существующий идентификатор сессии. Например отрублю куки и сделаю как пример так: /index.php?PHPSESSID=9ebca8bd62c830d3e79272b4f585ff8f Понятно что подобрать его это беда беда, но как то же решается этот вопрос в проектах с большим трафиком. 0

@sct 0 / 0 / 0 Регистрация: 16.06.2015 Сообщений: 3
	17.06.2015, 13:16 [ТС]	5
	Ну в сессиях разная инфа может хранится.. А так это конечно тоже решение хоть и с костылем. Может есть вообще какая то альтернатива сессиям? Например тот же vk тоже сессии используют или как то по другому выкручиваются?.. 0

@troayn32 25 / 25 / 9 Регистрация: 18.09.2011 Сообщений: 130
	23.06.2015, 21:30	6
	Единственное, что повышает безопасность веб-приложения, это ssl сертификат, всё остальное детский сад. 0