Autorius Tema: Saugus prisijungimas 30-čiai minučių (Skaityta 856 kartus)

Modestas Vaitkevičius · « **Įrašytas:** 2012-07-20 23:37:26 pm »

Sveiki,
Turiu tokį klausimą, kaip su php sugeneruoti saugų prisijungimą tarkime 30-čiai minučių?

Kam to reikia?
Yra sistema, kurioje žmogus stebi savo finansinę veiklą, todėl reikia didelio saugumo. Esmė tame, kad sakykime sesijose saugomi vartotojo unikalūs duomenys ir man reiktų, kad vartotojas dėl saugumo kas 30 minučių prisijungtų vėl. Ar sesijos galioja tol, kol nėra uždaroma naršyklė? ( Šitas klausimas man niekada nebuvo aiškus

) Nes teko skaityti, jog jos galioja ~20 minučių, o poto nebe...

Tad reiktų patarimo, kaip padaryti saugų prisijungimą, o kartu ir būtų įmanoma išsaugoti unikalų ID bei jį lengvai išgauti

Ačiū už patarimus

vitalikaz · « **Atsakymas #1 Įrašytas:** 2012-07-21 16:22:25 pm »

Sesijos galioja tiek, kiek nustatysi cookie_livetime ir gc_maxlifetime php.ini konfiguracijos faile (daugiau - http://php.net/manual/en/session.configuration.php ). Galiojimo laiko "taimeris" (jeigu taip galima pavadint) nuresetinamas kaskartą, kai sesijos duomenis įrašomi į pirminį jų šaltinį (by default - sesijos failai). Todėl, jeigu nori, kad vartotojas atsijunginėtų kaskart už 30min po prisijungimo, turi kurnors saugoti prisijungimo datą, ir kaskart tikrinti, ar tas laikas nėra pasenęs. Jeigu pasenęs (buvo anksčiau, negu prieš 30min), daryti session_destroy() ir tiek.

Lukas Liesis · « **Atsakymas #2 Įrašytas:** 2012-07-21 17:31:22 pm »

Citata iš: Modestas Vaitkevičius 2012-07-20 23:37:26 pm

Sveiki,
Turiu tokį klausimą, kaip su php sugeneruoti saugų prisijungimą tarkime 30-čiai minučių?

Kam to reikia?
Yra sistema, kurioje žmogus stebi savo finansinę veiklą, todėl reikia didelio saugumo. Esmė tame, kad sakykime sesijose saugomi vartotojo unikalūs duomenys ir man reiktų, kad vartotojas dėl saugumo kas 30 minučių prisijungtų vėl. Ar sesijos galioja tol, kol nėra uždaroma naršyklė? ( Šitas klausimas man niekada nebuvo aiškus ) Nes teko skaityti, jog jos galioja ~20 minučių, o poto nebe...

Tad reiktų patarimo, kaip padaryti saugų prisijungimą, o kartu ir būtų įmanoma išsaugoti unikalų ID bei jį lengvai išgauti

Ačiū už patarimus

banko sistemoje tai padaryta taip, kad jei nieko neveiki, 5 minutes, tada isoka langelis, kad tuoj busi atjungtas ir gali paspausti kad tau reikia daugiau laiko arba atsijungti, man atrodo tai yra kur kas geriau, nei po 30 min nuo login laiko atjungia. Kaip tik tuo metu kazka darai ir nujungia tave, arba prisijungi, per pora minuciu kazka padarai ir dar kiti spes su tavo sask. ka tik nori padaryti per puse valandos.

Modestas Vaitkevičius · « **Atsakymas #3 Įrašytas:** 2012-07-21 18:21:32 pm »

Esmė tame, kad reikia saugaus būdo saugoti vartotojo informacijai ir ją išgauti ( kad ir username )

Hmm, kas dėl pusvalandžio, tai principas veikimo kaip ir 5 min bankuose

Porai minučių likus - lentelė

Manualai.lt Forumas · « **Atsakymas #3 Įrašytas:** 2012-07-21 18:21:32 pm »

Lukas Liesis · « **Atsakymas #4 Įrašytas:** 2012-07-21 20:36:03 pm »

Citata iš: Modestas Vaitkevičius 2012-07-21 18:21:32 pm

Esmė tame, kad reikia saugaus būdo saugoti vartotojo informacijai ir ją išgauti ( kad ir username )

Hmm, kas dėl pusvalandžio, tai principas veikimo kaip ir 5 min bankuose Porai minučių likus - lentelė

tai jei tu nori saugaus budo saugoti info, tai tikrai reiktu galvoti apie kazka subtilesnio, nei tiesiog session time'a.

Modestas Vaitkevičius · « **Atsakymas #5 Įrašytas:** 2012-07-21 20:42:02 pm »

Hmm, man esmė tame, kad reiktų kaip nors išsaugoti unikalų id, kurio nebūtų galima pamatyti

O atėjus laikui ( sakykim po 25 miučių ) išmes pranešimą, kad liko 5 minutės, bei klausimą ar norite pratęsti darbą toliau

Tad kokie būtų siūlymai tam subtelesniam būdui?

Lukas Liesis · « **Atsakymas #6 Įrašytas:** 2012-07-21 21:47:10 pm »

Citata iš: Modestas Vaitkevičius 2012-07-21 20:42:02 pm

Hmm, man esmė tame, kad reiktų kaip nors išsaugoti unikalų id, kurio nebūtų galima pamatyti O atėjus laikui ( sakykim po 25 miučių ) išmes pranešimą, kad liko 5 minutės, bei klausimą ar norite pratęsti darbą toliau

Tad kokie būtų siūlymai tam subtelesniam būdui?

reiktu pasidometi kaip yra padarytos ivairios bankuose naudojamos sistemos. Visu pirma tai reiktu viska koduoti su SSL, aisku sesija neturi buti per ilga. Taip pat galetu buti logai kokie nors is kokiu ip jungiasi ir jei 5 kartus jungesi is tarkim Kauno, tai jei dabar jau jungiasi is Vilniaus ar kokio Berlyno, tai kad uzduotu papildoma klausima, kad "pastebejome, kad pakeitete savo vieta, kad isitikinti, kad tai jus atsakykite i blah blah blah" ar pns. Visko galima prisigalvoti, bet is pradziu siulau gerai pagooglint kaip yra daromos banku sistemos ir uztikrinamas duomenu saugumas.

Taip pat turi buti apgalvota kiekviena puslapyje esama forma, ar jos negalima pralauzti kokiu nors budu, parasyti ivairiu testu sistemos tikrinimui. Samdyti nepriklausomus saugumo ekspertus, kurie bandytu tavo kuriama sistema ir t.t. Viskas priklauso nuo to, kokio lygio saugumo tau reikia ir kiek tau yra verta ideti ivairiu resursu i saugumo uztikrinima.

Modestas Vaitkevičius · « **Atsakymas #7 Įrašytas:** 2012-07-21 21:52:18 pm »

Na pirmiausia tai norėčiau padaryti tokį dalyką, kad sakykim pc iš kurio prisijungi saugiai išsaugotų bent jau unikalų id. Tada galvoju daryti taip, kad sistema po dviejų prisijungimų leistų prisijungti būtent iš to pačio ip adreso

Manau tai būtų gerai, o norint pakeisti prisijungimo ip adresą reiktų atsiųsti kokią nors informaciją, kuri patvirtintų, kad būtent tas žmogus to prašo

Pralaužti gal ir bus įmanoma, visgi nesu visiškas ekspertas

Tiesa, Lukai, būtų įmanoma su Tavimi asmeniškai pasitarti dėl įdėjos? Norisi sužinoti ar tavo akimis ji atrodo gera ar ne

bendzaminas · « **Atsakymas #8 Įrašytas:** 2012-07-23 15:13:05 pm »

Šifruoto identifikavimo ar verifikavimo kartu su sertifikatais pilnai užtektų.

Modestas Vaitkevičius · « **Atsakymas #9 Įrašytas:** 2012-07-23 20:51:22 pm »

Hmm, esmė tame, kad visiems tiems SSL ir panašiai kol kas neturiu pakankamai lėšų

Taigi, čia ir yra problema

justinas · « **Atsakymas #10 Įrašytas:** 2012-07-24 16:13:13 pm »

Citata iš: Modestas Vaitkevičius 2012-07-23 20:51:22 pm

Hmm, esmė tame, kad visiems tiems SSL ir panašiai kol kas neturiu pakankamai lėšų Taigi, čia ir yra problema

Kur finansų valdymas ar apskritai bet koks prisijungimas, kur kas nors vertingo, SSL būtinas dalykas. Kas iš to, kad prisigaminsi visokių unikalių ID, jei vartotojas jungsis per kokį atvirą wifi, ir kažkas pasijungęs Wireshark tiesiog pyst ir pasiims jo username/password.

Nesuprantu kam čia išvis kažkokio unikalaus ID ar ko. Prisijungia vartotojas, pastorini laiką 30 minučių į priekį. Per kiekvieną refresh darai tikrinimą, ar nesibaigė. Jei nesibaigė - vėl pratęsi iki 30 minučių.

Modestas Vaitkevičius · « **Atsakymas #11 Įrašytas:** 2012-07-24 17:48:43 pm »

Ok, dabar tada atsakyk kaip išgauti jo info?

Pagal ką

bendzaminas · « **Atsakymas #12 Įrašytas:** 2012-07-25 11:27:55 am »

Citata iš: Modestas Vaitkevičius 2012-07-24 17:48:43 pm

Ok, dabar tada atsakyk kaip išgauti jo info? Pagal ką

Saugiausiai yra kiekvienam vartotojui terminuotai/neterminuotai sesijai suteikti unikalų id, pagal kurį identifikuotum vartotoją.

Modestas Vaitkevičius · « **Atsakymas #13 Įrašytas:** 2012-07-25 12:01:28 pm »

Ok, to ir norėjau

Tiesiog buvo toks klausimas ar sesijos yra saugus dalykas ar ne

Nes parašęs pagalvojau, kad šifruotą sesiją paleidi ir tiek

Manualai.lt Forumas · « **Atsakymas #13 Įrašytas:** 2012-07-25 12:01:28 pm »

Manualai.lt Forumas

Naujienos: