[BoXon]

Hej!

Sitter och programmerar en inloggning som jag vill ska ha en "kom ihåg mig" funktion.

Jag funderar dock vad som är säkrast att göra? Min ide just nu är att lagra
användarens uppgifter i hans egen cookie fil, och med dessa sedan göra en
virtuell inloggning (och med en session kontrollera att detta bara görs vid första besöket, och inte vid varje uppdatering). Och sedan som vanligt sätta
en session som dör när man stänger sidan. Min sida går ju så säker som den
kan, men hur är det med användarens säkerhet?

Förslag och synpunkter mottages.

[dotvoid]

Lång diskussion. Och jag som trodde enda skillnaden var att man satte olika livslängd på sessionen beroende på om användare kryssar i "kom ihåg mig" eller inte...

[SimonP]

Citat:

Originally posted by dotvoid@Aug 24 2009, 13:19
Lång diskussion. Och jag som trodde enda skillnaden var att man satte olika livslängd på sessionen beroende på om användare kryssar i "kom ihåg mig" eller inte...

Trådskaparen använde ordet "säkraste", det hade varit mkt enklare annars...

[dotvoid]

Fast hittills har det bara diskuterats två olika sätt att använda cookies. Antingen direkt eller indirekt via den inbyggda sessionshanteringen.

Det är meningslöst att ha två parallella sessioner där den ena sessionen används för att skapa den andra. Det i sig tillför ingen säkerhet alls. Tvärtom.

Att kontrollera annan data i tillägg till det cookievärde som sätts direkt eller indirekt, som t ex user agent, tillför lite men inte mycket. Att kontrollera ip tillför mer men innebär också vissa nackdelar med de som sitter bakom proxykluster som ovan nämnts. T ex i USA har det sistnämnda varit ett stort problem iom främst America Online.

Så länge man använder sig av cookies för sessionshanteringen är det enda man kan göra för att öka säkerheten att i övrigt på webbsajten jobba hårt för att användarens cookie-värden inte kan läcka till tredje part. Det kräver mycket och noggrant arbete.

Räcker inte den säkerheten återstår bara att övergå till https.

[SimonP]

Citat:

Originally posted by dotvoid@Aug 24 2009, 14:53
Att kontrollera ip tillför mer men innebär också vissa nackdelar med de som sitter bakom proxykluster som ovan nämnts. T ex i USA har det sistnämnda varit ett stort problem iom främst America Online.

Visst, om besökaren får väldigt spridda IP nr blir det förstås problem, om det t.ex bara handlar om olika klass C nät går det att lösa.

Om man inte behöver en "serverside-kom-ihåg"-funktion bör man alltid lägga på en IP-nr-koll i sessionhanteringen, eftersom användaren då loggar in varje gång får den nystartade sessionen rätt IP att hålla reda på.

[dotvoid]

Återigen. Det finns mycket stora ISP som faktiskt ändrar subnet mitt i sessioner. Återigen kan jag peka på AOL som ett bra exempel. Det finns fler. Därmed måste man vara medveten att detta förr eller senare kan komma att sätta krokben för någon (eller flera) användare. Sedan får man själv sätta det i relation till vad man uppnår.

Dessutom förstår jag inte vad en "serverside-kom-ihåg"-funktion innebär. Server-side till skillnad mot vad? Sessioner hanteras normalt genom att man skapar en cookie med ett värde (sessionsid) som unikt identifierar en unik user agent (en användare/webbläsare). Cookien lagras hos klienten. Det värdet associerar man med viss data man sparar på servern, antingen i filer, arbetsminne eller databas. Att spara icke-kritisk data direkt i en cookie är ok men inte kritisk data som sessiondata eller inloggningsuppgifter. (Det andra sättet är att lägga ett sessionsid direkt i url:en men det är en sämre lösning och diskuteras inte).

Något annat som kan diskuteras är att många webbläsare har funktionalitet för att komma ihåg formulärdata och därmed kan fylla i ett loginformulär åt dig. Det har inget med sessioner att göra.

Jag tror nog det är läge att läsa på lite. Exempelvis är Chris Schifletts genomgång väldigt grundlig.
http://shiflett.org/articles/the-truth-about-sessions
http://shiflett.org/articles/session-hijacking

[SimonP]

Citat:

Återigen. Det finns mycket stora ISP som faktiskt ändrar subnet mitt i sessioner. Återigen kan jag peka på AOL som ett bra exempel. Det finns fler. Därmed måste man vara medveten att detta förr eller senare kan komma att sätta krokben för någon (eller flera) användare. Sedan får man själv sätta det i relation till vad man uppnår.

Om dom får nytt IP mitt under sessionen får dom logga in igen, många sidor som har verkligt höga krav på säkerhet gör så. Om det skulle vara så att man har en ISP som byter IP väldigt ofta, t.ex AOL så är det bara att skippa IP-nr koll på dessa, det är ändå få ISP som byter IP så ofta.

Citat:

Något annat som kan diskuteras är att många webbläsare har funktionalitet för att komma ihåg formulärdata och därmed kan fylla i ett loginformulär åt dig. Det har inget med sessioner att göra.

Jag har inte sagt att det är en session heller, jag menade att det är ett annat alternativ.

Citat:

Jag tror nog det är läge att läsa på lite. Exempelvis är Chris Schifletts genomgång väldigt grundlig.
http://shiflett.org/articles/the-truth-about-sessions
http://shiflett.org/articles/session-hijacking

Läs kommentarerna till artikeln på denna sida:
http://shiflett.org/articles/session-hijacking
Flera som anser att IP-nr koll är det enda säkra.
Prova logga in på en svensk bank, byt sen IP och se vad som händer.

[SimonP]

Citat:

Originally posted by SimonP@Aug 24 2009, 16:50
Prova logga in på en svensk bank, byt sen IP och se vad som händer.

Oj, här varierade det åt mig, FF loggade ut mig, medans IE släppte igenom mig.