هل هذه طريقة معقولة لتنفيذ 'تذكر لي' وظائف
https://stackoverflow.com/questions/689508
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
إذا تسجيل دخول المستخدم إلى الموقع، ويقول 'تذكرني'، نحصل على معرف فريد للمستخدم، تشفير هذا مع RijndaelManaged مع keysize من 256 ووضع ذلك في ارتباط httponly مع انتهاء مجموعة من القول. 120 أيام، يتم تحديث انتهاء كل طلب ناجحة إلى الملقم.
واختياريا نحن توليد ناقلات التهيئة استنادا إلى وكيل المستخدم وجزء من عنوان IPv4 (الاثنين الثمانية الماضية).
من الواضح ثيريس أي نظام انقضاء الحقيقي في صلب هذا، يمكن للمستخدم من الناحية التقنية تستخدم هذا المفتاح المشفر إلى الأبد (نظرا نحن لا تغيير مفتاح جانب الخادم) ..
وأنا اعتبر أن للسماح هذه الميزة ولست بحاجة للسماح للمستخدم لتكون قادرة على تجاوز تسجيل الدخول وتعطيني هوية فريدة من نوعها (والتي هي ارشد)، فكنت ارشد وحده كان من الصعب حقا أن يخمن حقيقية المستخدمين GUID، ولكن سيترك الموقع مفتوحا للهجوم من قبل botnots توليد المعرفات الفريدة العمومية (ليس لدي فكرة عن مدى واقعية هو الحال بالنسبة لهم لإيجاد ارشد شرعي) .. لذلك هذا هو السبب ثيريس التشفير حيث الملقم يعرف مفتاح التشفير، و اختياريا الرابع هو تحديدا إلى المتصفح والملكية الفكرية جزءا منها.
هل يجب أن يكون النظر نهجا مختلفا حيث تذاكر القضايا المرتبطة الخادم إلى المستخدم، وسيكون هذه التذاكر لديها تاريخ انتهاء الصلاحية يعرف حتى يبقى الخادم في السيطرة على انتهاء؟ يجب أن أهتم بأمرهم انتهاء؟ تذكر لي وتذكر لي بعد كل شيء؟
ونتطلع إلى أن بالتواضع؛)، الهتافات.
المحلول
والحل لسؤالك في هذه بلوق وظيفة
<اقتباس فقرة>و"استمرار دخول كوكي أفضل عمليا، "يصف نسبيا نهج آمن لتنفيذ "تذكرني" الخيار مطلع لشبكة الإنترنت المواقع. في هذه المقالة، واقتراح التحسن الذي يحتفظ كل فوائد هذا النهج ولكن أيضا يجعل من الممكن الكشف عن عندما وكان استمرار تسجيل الدخول الكعكة المسروقة والمستخدمة من قبل المهاجمين.
وكما يقول جاكو في التعليقات: لفي عمق المعلومات حول <م> آمن المصادقة قراءة <لأ href = "https://stackoverflow.com/questions/549/the-definitive-guide-to- الموقع المصادقة بيتا # 477580 "> الدليل النهائي لمصادقة موقع .
نصائح أخرى
هل تنظر في شيء من هذا القبيل فتح معرف؟ كما يستخدم SO.
ما مدى أهمية المعلومات التي يتم تذكرها؟ إذا كان لن يكون أي شيء شخصي جدا أو مهمة، وضعت للتو GUID في ملف تعريف الارتباط.
وبما في ذلك عنوان IP في حساب من المحتمل ان يكون فكرة سيئة، لأنها من شأنها أن تجعل المستخدمين باستخدام الشبكات العامة أن ينسى على الفور.
<ع> استخدام القوة الغاشمة للعثور على المعرفات الفريدة العمومية أمر مثير للسخرية، كما أن هناك 2 <سوب> 128 في الاحتمالات.