W dniu 2010-08-18 00:01, Konrad Kosmowski pisze:
> ** Peter May<p...@o...pl> wrote:
>
>>>> Zastanawiam się nad tym, jak bezpiecznie zrealizować nierzadko widzianą
>>>> opcję "Zapamiętaj mnie" lub "Zapamiętaj hasło",
>
>>> Chodzi Ci o funkcję przeglądarki - każda sensowna ma wbudowany menadżer
>>> haseł, który trzyma hasła po stronie przeglądarki i w dodatku pozwala je
>>> zaszyfrować np. master hasłem czy w ogóle z użyciem urządzenia
>>> kryptograficznego (np. karty inteligentnej, pliku certyfikatu whatever).
>
>> Nie chodzi mi o to, że już praktycznie wszystkie przeglądarki potrafią
>> zapamiętać hasło i login nie rzadko. To ja wiem, ale trudno jest czasem
>> wytłumaczyć to klientowi. Niektórzy są niereformowalni klienci :/
>
> To niech wtedy nie zapisują haseł w inny sposób bo w inny sposób będzie mało
> bezpiecznie... chociaż to oczywiście zależy. Można im też np. generować
> certyfikaty itd. - pytanie tylko czy potrzeba skoro jak sam mówisz tego nie
> chcą.

Wydaje mi się, że cokolwiek by nie robić, to przeglądarka zapamięta
hasło w sposób najlepszy.

>>> Czy chodzi Ci o ptaszek "zapamiętaj mnie" w formularzu, który po prostu
>>> wydłuża czas trwania sesji?
>
>> Chodzi mi o checkboksa.
>
> No to ten checkbox robi tak, że sesja uwierzytelnienia (najczęściej cookie z
> żetonem u klienta i odpowiadające mu dane sesji na serwerze) ma dłuższy czas
> życia (np. 24h - to jest oczywiście parametryzowane) i przetrwa zamknięcie
> przeglądarki.
>
> Po stronie klienta wiele do tego nie dodasz - tzn. raczej pozostaje jedynie
> cookie, modulo jakieś naprawdę sprytne praktyki, których nie znam. I o których
> chętnie poczytam.
>
> Po stronie serwera możesz do sesji dodać np. źródłowy adres IP, string
> User-Agent klienta i podobne zabiegi. Ale w zasadzie to i tak rozbija się o
> wartość cookie, która jest tutaj sekretem/kluczem do uzyskania sesji, cała
> reszta to tylko utrudnienia.

O, dzięki. To jest właściwy trop, którym mogę pójść. W zasadzie, jak
Paweł pisał, ciastko wydłużające sesję powinno załatwić problem.

> Czasami twórcy niektórych serwisów robią coś takiego jak URL zawierający
> identyfikator sesji - to jest w ogóle mega niebezpieczne bo polega na tym, że
> klient chroni zawartość swojej historii, przeglądarki itd. ale dla świadomych
> użytkowników może być wygodne (Slashdot kiedyś tak miał jako opcja).

Z tego, co wiem, to w PHP można zrobić przekazywanie sesji
transparentnie. Wtedy identyfikator sesji nie jest "doklejany" do URL-a.

Nie jestem aż tak biegły w technologiach po stronie serwera, ale od
czasu do czasu coś tam sobie napiszę.

>>>> itp. Wydaje się, że hasło musi być trzymane w cookie, a już na pewno
>>>> szyfrowane.
>
>>> Hasło trzymane w cookie? Jeżeli już to żeton sesji.
>
>> A czy ja tam wiem co mam trzymać w cookie w w/w funkcjonalności? Nie, bo
>> nigdy czegoś takiego nie potrzebowałem. No ale znalazł się jeden, co na
>> GMailu coś takiego widział i chce mieć takie coś, jak "Zapamiętaj mnie".
>
> Przecież ma w przeglądarce menadżer haseł za darmo - jak chce dopłacać to mu
> zrób po prostu. :-)

No właśnie :-) Skoro chce zapłacić, to będzie to miał. Choć jestem
zdania, że nie wszystko i nie za wszelką cenę.

>> Dlatego pytam, by zastosować jakieś sensownie rozwiązania do w/w
>> funkcjonalności.
>
> To ja pytam o politykę systemu bo to jest np. w przypadku bankowości totalnie
> nieakceptowalne, a w przypadku dupy-maryny forum czy serwisu społecznościowego
> jest powszechnie praktykowane.

Otóż to. Wszystko zależy od przyjętej polityki bezpieczeństwa. Nie chcę
popadać w skrajność, dlatego zawsze szukam w miarę bezpiecznego
rozwiązania. W moim przypadku nie są potrzebne takie zabezpieczenia, jak
w bankach. Choć i tak już jest w bankach sporo pozmieniane. Kiedyś były
zdrapki, tokeny, jednorazowe hasła, aplety Java, itd. Dziś, np. w ING,
prosty login na jednej stronie, i hasło z losowymi polami na drugiej
stronie. I to już załatwia problem z logowaniem :-) Ale to już temat na
inną bajkę.

> Nie wspominasz słowem o jaki serwis chodzi, więc co Ci mogę odpowiedzieć poza -
> "to zależy..."? W każdym razie w przypadku tego mechanizmu hasło NIE JEST
> NIGDZIE ZAPISYWANE. Jedyne co jest zapisywane to cookie zawierające żeton
> sesji.

Ok, powyższe mi już wyjaśniło jak ten mechanizm "zapamiętaj mnie"
działa. Nie chcę wywnętrzać się na temat serwisu, bo nie jest to aż tak
istotne. Stwierdzam tylko, że zabezpieczenia na poziomie bankowym nie
jest niezbędne.

> A odnośnie sesji to doczytaj o ich obsłudze w tym czego używasz (PHP czy co tam
> stosujesz), przecież to wszystko jest w dokumentacji.

PHP, choć wolę programować "po stronie klienta" ;-)

--
Peter