È questo un modo ragionevole per implementare 'ricordati di me' funzionalità

Question

Se un utente accede al sito, e dice 'ricordati di me', otteniamo l'identificatore univoco per l'utente, crittografare questo con RijndaelManaged con una dimensione per la chiave di 256 e collocare questo in un cookie HttpOnly con scadenza serie di dire. . 120 giorni, la scadenza viene aggiornato ogni richiesta con il server.

Facoltativamente generiamo il vettore di inizializzazione in base al programma utente e dalla parte dell'indirizzo ipv4 (gli ultimi due ottetti).

Ovviamente non c'è nessun sistema reale di scadenza incorporata in questo, l'utente potrebbe tecnicamente utilizzare questa chiave crittografata per sempre (dato non cambiamo la chiave lato server) ..

ho considerato il fatto che per consentire questa funzione ho bisogno per consentire all'utente di essere in grado di bypassare il login e mi danno la loro identificazione unica (che è un GUID), ho pensato che il GUID solo è stato davvero difficile da indovinare un vero e proprio utenti guid, ma avrebbero lasciato il sito aperto agli attacchi di botnots generano GUID (non ho idea di come realistico è per loro, per trovare un guid legit) .. quindi questo è il motivo per cui ce n'è crittografia in cui il server conosce la chiave di crittografia, e opzionalmente il IV è specifico per la parte del browser e IP.

Devo essere considerato un approccio diverso in cui i problemi del server biglietti associati a un utente, e questi biglietti avrebbe una data di scadenza noto modo che il server rimane in controllo della scadenza? dovrei davvero cura di scadenza? ricordati di me si ricordi di me, dopo tutto?

In attesa di essere umiliato;), Cin cin.

Answer 1

domanda molto simile.

La soluzione alla tua domanda è in questo post del blog

  

"Persistent Cookie accesso migliore   Pratica ", descrive un relativamente   approccio sicuro per l'attuazione del   familiare "Ricordami" opzione per il web   siti. In questo articolo, vi propongo un   miglioramento che conserva tutto il   vantaggi di questo approccio, ma anche   consente di rilevare quando un   persistente cookie di login è stata   rubato e utilizzato da un aggressore.

Come Jacco dice nei commenti: per nelle informazioni approfondite su sicura di autenticazione leggere la guida definitiva al sito web di autenticazione .

Answer 2

Lo si considera qualcosa come Open ID? Come SO utilizza.

Answer 3

Quanto è importante l'informazione che viene ricordato? Se non sarà qualcosa di molto personale o importanti, basta mettere un GUID nel cookie.

compreso l'indirizzo IP nel calcolo è probabilmente una cattiva idea, in quanto renderebbe gli utenti che utilizzano le reti pubbliche immediatamente essere dimenticati.

Utilizzando la forza bruta per trovare GUID è ridicolo, in quanto vi sono 2 ¹²⁸ possibilità.