** Peter May <p...@o...pl> wrote:

>>> Zastanawiam się nad tym, jak bezpiecznie zrealizować nierzadko widzianą
>>> opcję "Zapamiętaj mnie" lub "Zapamiętaj hasło",

>> Chodzi Ci o funkcję przeglądarki - każda sensowna ma wbudowany menadżer
>> haseł, który trzyma hasła po stronie przeglądarki i w dodatku pozwala je
>> zaszyfrować np. master hasłem czy w ogóle z użyciem urządzenia
>> kryptograficznego (np. karty inteligentnej, pliku certyfikatu whatever).

> Nie chodzi mi o to, że już praktycznie wszystkie przeglądarki potrafią
> zapamiętać hasło i login nie rzadko. To ja wiem, ale trudno jest czasem
> wytłumaczyć to klientowi. Niektórzy są niereformowalni klienci :/

To niech wtedy nie zapisują haseł w inny sposób bo w inny sposób będzie mało
bezpiecznie... chociaż to oczywiście zależy. Można im też np. generować
certyfikaty itd. - pytanie tylko czy potrzeba skoro jak sam mówisz tego nie
chcą.

>> Czy chodzi Ci o ptaszek "zapamiętaj mnie" w formularzu, który po prostu
>> wydłuża czas trwania sesji?

> Chodzi mi o checkboksa.

No to ten checkbox robi tak, że sesja uwierzytelnienia (najczęściej cookie z
żetonem u klienta i odpowiadające mu dane sesji na serwerze) ma dłuższy czas
życia (np. 24h - to jest oczywiście parametryzowane) i przetrwa zamknięcie
przeglądarki.

Po stronie klienta wiele do tego nie dodasz - tzn. raczej pozostaje jedynie
cookie, modulo jakieś naprawdę sprytne praktyki, których nie znam. I o których
chętnie poczytam.

Po stronie serwera możesz do sesji dodać np. źródłowy adres IP, string
User-Agent klienta i podobne zabiegi. Ale w zasadzie to i tak rozbija się o
wartość cookie, która jest tutaj sekretem/kluczem do uzyskania sesji, cała
reszta to tylko utrudnienia.

Czasami twórcy niektórych serwisów robią coś takiego jak URL zawierający
identyfikator sesji - to jest w ogóle mega niebezpieczne bo polega na tym, że
klient chroni zawartość swojej historii, przeglądarki itd. ale dla świadomych
użytkowników może być wygodne (Slashdot kiedyś tak miał jako opcja).

>>> itp. Wydaje się, że hasło musi być trzymane w cookie, a już na pewno
>>> szyfrowane.

>> Hasło trzymane w cookie? Jeżeli już to żeton sesji.

> A czy ja tam wiem co mam trzymać w cookie w w/w funkcjonalności? Nie, bo
> nigdy czegoś takiego nie potrzebowałem. No ale znalazł się jeden, co na
> GMailu coś takiego widział i chce mieć takie coś, jak "Zapamiętaj mnie".

Przecież ma w przeglądarce menadżer haseł za darmo - jak chce dopłacać to mu
zrób po prostu. :-)

> Dlatego pytam, by zastosować jakieś sensownie rozwiązania do w/w
> funkcjonalności.

To ja pytam o politykę systemu bo to jest np. w przypadku bankowości totalnie
nieakceptowalne, a w przypadku dupy-maryny forum czy serwisu społecznościowego
jest powszechnie praktykowane.

Nie wspominasz słowem o jaki serwis chodzi, więc co Ci mogę odpowiedzieć poza -
"to zależy..."? W każdym razie w przypadku tego mechanizmu hasło NIE JEST
NIGDZIE ZAPISYWANE. Jedyne co jest zapisywane to cookie zawierające żeton
sesji.

A odnośnie sesji to doczytaj o ich obsłudze w tym czego używasz (PHP czy co tam
stosujesz), przecież to wszystko jest w dokumentacji.

--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK