Hogy lehet a legbiztonságosabban elvégezni egy belépést? Php

Még egy hozzáfűzés ehhez:

"A cookie tartalmazhatja a username+password-ot, plusz ezeket a paramétereket de titkosítottan. Ezen kívül a cookie elküldése sha-256-al való hitelesítéssel legyen."

Egyrészt fölösleges CPU idő a szerveren a sok kódolás, másrészt user + jelszó kombót SOHA nem tárolunk user oldalon.

Clear textben pláne nem, de hashelve sem.

a cookie nem tartalmazhat felhasznaloi nevet es jelszot, sot, ezt meg a sessionnek sem kell tartalmaznia. A sessionben csak annyit kell eltarolni, hogy bejelentkezett-e (itt lehet a user id, ha igen, 0 ha nem)

a cookie a belso halozatban meg igy is konnyeden ellophato, raadasul a bongeszovel "on-the-fly" lehet modositani a forraskodot, igy meg tudja nezni, milyen adatokat kell belehamisitania. ezert a javascriptes megoldas nem az igazi. a php meg a serveren fut, igy a session id tarolasara igazan biztonsagos modot nem tudok

A session ID-t le KELL tárolni sütiben és pont. Másképpen nem lehet azonosítani senkit.

majd verpisitike jol lelopja apukaja geperol a sajat laptopjara, aztan kalozkodhat kedvere

ez nem biztonsagos megoldas

"a cookie nem tartalmazhat felhasznaloi nevet es jelszot, sot, ezt meg a sessionnek sem kell tartalmaznia. A sessionben csak annyit kell eltarolni, hogy bejelentkezett-e (itt lehet a user id, ha igen, 0 ha nem)"

És ha átírom az UserID -t, pl 1234 -ről 1 -re. !?

Akkor az 1-es ID -val rendelkező felhasználóval leszek azonosítva!?

Cookie/GET/POST/Session -ba ne tároljunk semmit ami hitelesítéshez szükséges, mert könnyedén lopható.

Csak PHPSESSID, ezt szerver oldalon társítani az IP címhez.

Helyi hálózaton ellopható, de 99.9% hogy nem így fogják!

Ha lejár az idő limit törlöd, így ha el is lopják, és azonos hálózaton van, csak percekig tud vissza élni vele!

Ami viszont sokkal veszélyesebb az maga a belépési rendszer.

Rengeteg esetben egy Brutus Force, vagy csak szimpla szótározással feltörhető!

Ezért kell figyelni a hibás próbálkozásokat, és limitálni időben ezek számát.

Persze fontos a nehezen kitalálható jelszó is, mert ha a jelszavad 123456 vagy qwerty akkor olyan mint ha nem is lenne.

brute force (nem brutus)

ezek trivialis dolgok, a cookie kerdese erdekesebb

Jah és adatait a felhasználónak nem úgy lopják el hogy oda mennek hozzá, és rácsatlakozna az internetére, vagy lehalgatják a wifi kommunikációt, hanem valami programmal tools programot csempésznek a gépére.

Ami lehet óra melletti kis progi, de lehet böngésző toolbar is.

Ami szépen össze gyűjti az adatokat, és elküldi a készítőjének.

sok ilyen program van, főleg olyan oldalakon ahol minden letölthető még Orbán Viktor is! xĐ