ugrás a tartalomhoz

Hogyan működik: "Megjegyezzem a jelszót?"

jadezoole.list · 2006. Szep. 3. (V), 13.17
A legtöbb honlapnál ahol van felhasz. név és jelszó ott van olyan funkció is, a honlap megjegyezze azt. A kérdésem már csak az, hogy ezt hogyan teszi?
Mi alapján azonosítja a gépet?
Van erre valamilyen php script stb.?

Köszi a válaszokat előre is!
 
1

cookie

Szekeres Gergő · 2006. Szep. 3. (V), 13.25
beállít egy cookiet a gépedre, aminek hosszú érvényességet ad meg.
2

kétféleképpen lehet

Anonymous · 2006. Szep. 3. (V), 13.47
Kis kiegészítéssel: kép lehetőség van.

1.
A böngészők (egy része, ha úgy van beállítva) felajánlja a beírt űrlapadatok megjegyzését. Ezt az adott laphoz társítja, legközelebb előre kitöltött beléptető ürlapmezőkkel fogad a lap. Ennek a funkciónak tkp. nincs köze a lap kódjához.

2.
Mint az előttem szóló írta, a lap kódja letesz egy kukit a kliens gépre, ha kéri a 'megjegyez' opciót. Olyankor szokás használni, ha az a cél, hogy legközelebb más bejelentkezett státusszal kapja meg a lapot a kliens. Ekkor a következő oldalkérésekkor a kéréssel eklüldött kukiból a szerveren az oldal generálásakor látható, hogy kért-e auto-bejelentkezetti státuszt.
A módszernek biztonsági kockázata van, ha többen használnak egy gépet - erre ajánlott felhívni a kliens figyelmét a 'megjegyez' opció kijelölésekor.

Üdv.
3

akkor tovább

jadezoole.list · 2006. Szep. 3. (V), 14.36
Szóval kuki.
Ez mind szép és jó, de mi van a kuki virusokkal, egyet felszed vkinek a gépe és máris megy a jelszó illetéktelen kezekbe.
4

Jelszó nem való a cookiba

Anonymous · 2006. Szep. 3. (V), 15.10
Nem a jelszót kell eltárolni, hanem egy kódot, amit majd szerveroldalon vizsgálsz!
5

Titkosítani

Rici · 2006. Szep. 3. (V), 15.15
Érdemes a cookie tartalmát titkosítani valamilyen szimmetrikus kulcsú titkosítási algoritmussal, aminek a kulcsát a szerver oldali program tudja csak. Így a kliens egy olyan sztringet tárol el és küld vissza, aminek a titkosítatlan tartalmát nem ismeri.

Így a jelszó bár nem lesz elérhető titkosítatlanul a kliens gépén, de ha valaki ellopja az egész cookiet, és úgy ahogy van egyben visszaküldi a titkosított változatot, az nyilván továbbra is érvényes lesz. Mindenesetre több mint a semmi, mert esetleg könnyen előfordul, hogy más site-hoz is ugyanaz a jelszava a usernek, viszont ahhoz a másik site-hoz akkor már nem tud a támadó hozzáférni a user nevében a te cookied miatt.
6

titkosítás

jadezoole.list · 2006. Szep. 3. (V), 16.56
Nézzük mit értettem meg...

Érdemes a cookie tartalmát titkosítani valamilyen szimmetrikus kulcsú titkosítási algoritmussal, aminek a kulcsát a szerver oldali program tudja csak

Tehát cookieban csak egy titkosított stringet tárolok, valamint a user nevet.

Mi van akkor ha a script fájl kódoláskor, lekér valami csak az adott gépre jellemző "adat"-ot (pl. IP) és azzal kombinálja a kódot? Így a titkosított jelszót, csak a kulcs és az "adat" ismeretében lehet használni.
7

IP nem jó

saxus · 2006. Szep. 3. (V), 17.34
Ezekkel a jellemző adatokkal az a baj, hogy nem konstansok.

- IP cím nem jó, netezők 80%-nak (ha nem több) dinamikus IP-je van.
- User Agent nem jó, frissítheti a böngészőt
8

más

jadezoole.list · 2006. Szep. 3. (V), 17.44
számítógépnév stb. ilyeneket nemtud php lekérdezni?
9

NetBIOS

Anonymous · 2006. Szep. 3. (V), 18.17
Anno, a szép régi NetBIOS-os időkben lehetett, de manapság már nem nagyon. Az IP címből a szolgáltatót tudod leszűrni.