W dniu 2010-08-17 22:47, Peter May pisze:
> Zastanawiam się nad tym, jak bezpiecznie zrealizować nierzadko widzianą
> opcję "Zapamiętaj mnie" lub "Zapamiętaj hasło", itp. Wydaje się, że
> hasło musi być trzymane w cookie, a już na pewno szyfrowane. Pytanie
> tylko jak sensowne podejść do tematu? Głównie od strony bezpieczeństwa.

Przy założeniu "autologowanie tylko z jednego, bezpiecznego komputera"
możesz zastosować np. taką procedurę:
Po weryfikacji i stwierdzeniu, że user chce być pamiętany na tym
(ale tylko tym) komputerze, robisz przepustkę, która jest md5
ze złożenia nazwy usera, hasha hasła, salta i aktualnego czasu.
Przepustka do bazy (w rekord usera) i do ciastka. Do tego w ciachu
login lub id - nie obniża bezpieczeństwa, a eliminuje przypadek
kolizji MD5 (i tak niemal nieprawdopodobny).
Taką procedurę przeprowadzasz ilekroć user chce być pamiętany, a także
ilekroć zaloguje się automatycznie.
W ten sposób po każdej sesji otrzymuje on _nową_jednorazową_ przepustkę.

Jeżeli nawet ciastko zostanie "wykradzione", to pierwsze skorzystanie
z niego czyni go nieważnym. User nie zostanie wpuszczony z automatu
(ale on zna swoje hasło, więc normalny login nie jest przeszkodą,
a jedynie drobną uciążliwością) - i nie dość, że widzi, że jest coś
nie tak (system może go nawet informować, że nastąpiła niezgodność
przepustek), to jeszcze obowiązująca staje się nowa przepustka,
czyniąc każda posiadaną przez "hackera" nieważną.
Oczywiście do zmiany hasła, kasowania konta itp. i tak wymagasz
podania hasła, prawda?

Sporadyczne logowania z innych komputerów w niczym nie przeszkadzają
(o ile nie zostanie wybrana opcja, by TAM usera pamiętano).

Ominięcie tego wymagało by nie tylko ukradzenia ciastka, ale regularnego
podsyłania userowi nowych po każdym skorzystaniu.

v.