Kezdőoldal » Számítástechnika » Weblapkészítés » A profi weboldalak hogy...

A profi weboldalak hogy azonosítják a felhasználót?

Figyelt kérdés

Autodidakta módon tanulok programozni, mindig csak azt, amire épp szükségem van, úgyhogy a tudásom hiányos lehet.

PHP-val első találkozásom az volt, amikor egy nagyon buta beléptetőrendszer működését tanulmányoztam korábbi C-ismereteimre alapozva, ami meg nem volt tiszta, annak utánanéztem. (azóta már dolgoztam PHP-val, szóval már jóval széleskörűbbek az ismereteim)


Az a bizonyos beléptetőrendszer egy txt-ben tárolt asszociatív tömbből olvasta ki a felhasználónevet és a titkosítatlan jelszót, és úgy ahol voltak eltárolta őket a "username" és a "password" sütikben. Na, abban biztos vagyok, hogy a nagyok nem így csinálják.:D


Az odáig tiszta sor, hogy a felhasználói adatok egy adatbázisban kapnak helyet, de, hogy az oldal milyen módon jegyzi meg, ha be vagyunk lépve, arról max tippelni tudok.


Azon agyaltam, hogy ha a sütiben tárolt adatokban csupán a felhasználói adatok a változók (és kizárólag sütik segítségével történik az azonosítás), akkor lopott sütikkel bárki bármikor bárhonnan beléphet.


Akkor az elméletem:

Gyanítom, hogy az általam említett példával szemben csak egy sütit használnak, ami nem is feltétlen áll kapcsolatban a felhasználó adataival, ellenben valami viszonylag hosszú egyszeri kódot tárol (algoritmus természetesen garantálja, hogy ugyanazt a kódot kétszer ne lehessen létrehozni), amit kilépéskor a szerver "elfelejt", így nem lehet vele újból belépni. Mindemellett gondolom, hogy az oldal arról is kap adatot, hogy pontosan milyen eszközről lépnek be.


Ennél jobb megoldást a jelenlegi ismereteimmel nem tudok elképzelni. Van esetleg mégis?



Ezen felül érdekelne még pár dolog, ami ide kapcsolódik:

1. Ha SHA-256-ot használok a jelszó kódolásához, az önmagában elégséges?

2. Hogyan titkosítják a kliens és szerver közötti kommunikációt? (ez most elsősorban a jelszó küldése miatt érdekel)


2016. okt. 29. 04:02
 1/9 anonim ***** válasza:

SESSION: [link]

Egy a Cookie -hez hasonló adat, csak kliens oldalon az adott munkamenetre, kilépésig, böngésző bezárásig érvényes.

2016. okt. 29. 04:27
Hasznos számodra ez a válasz?
 2/9 anonim ***** válasza:

"Ha SHA-256-ot használok a jelszó kódolásához, az önmagában elégséges?"

Igen, de bármely hashelős technológia is megfelel egy kis "sózással".

pl.: md5(rot13(xxx#Jelszó#yyy));

2016. okt. 29. 04:30
Hasznos számodra ez a válasz?
 3/9 anonim ***** válasza:

"Hogyan titkosítják a kliens és szerver közötti kommunikációt?" -> HTTPS

SSL licensz szükséges hozzá, amit pl domainhez lehet rövid időre ingyen is kérni.

De alap SSL -t már pár ezerért lehet bérelni is, van tárhely ahol már az alapba is benne van.

2016. okt. 29. 04:32
Hasznos számodra ez a válasz?
 4/9 A kérdező kommentje:

Köszönöm, nem számítottam ilyen gyors válaszra!


A session megmagyarázza, hogy miért nem találtam soha a tárolt sütik között ilyesmit. Igazából innen jött ez az egész, mert bele akartam nézni a sütikbe, amiknek a neve azt sejteti, hogy belépési adatokat tartalmaz, hogy megnézzem, a nagyok hogy csinálják, de mivel nem találtam semmit, tudtam, hogy valamit nem tudok. :D


Ha jól értem, az SSL titkosításnál a böngésző és a hosting végzi el a piszkos munkát, nekem meg semmi dolgom vele?


Akkor a többiben nem tévedtem? (egyedi egyszer használatos kód, és az eszköz beazonosítása)

És nincs semmi amiről megfeledkeztem, ennyi az egész?

2016. okt. 29. 05:49
 5/9 A kérdező kommentje:
a "keep me logged in" opciónál viszont gondolom ugyanez az eljárás, de ott már tényleg sütit használnak (right?)
2016. okt. 29. 05:54
 6/9 A kérdező kommentje:
az előbb lehet, hogy hülyeséget írtam, mert a facebooknak van egy c_user sütije, bár nem is lép ki ha bezárom a böngészőt...
2016. okt. 29. 06:15
 7/9 anonim ***** válasza:
A "keep me logged in" is ugyanúgy a session-on keresztül zajlik (szerintem) valami munkamenet session névre hallgathat, sajnos csak ovlastam valamikor és behatóbban nem értek hozzá.
2016. okt. 29. 06:50
Hasznos számodra ez a válasz?
 8/9 anonim ***** válasza:
Kuki kezelesben van session parameter, ami ha igaz akkor elfelejti a bongeszo bezarasjor (v amikor akarja), a maradj bejelentkezve is session azonosito szeru kukit csinal, csak nem ilyen parameterrel.
2016. okt. 29. 08:29
Hasznos számodra ez a válasz?
 9/9 anonim ***** válasza:

A "keep me logged in" esetében egy jól lekódolt cookie ami segít azonosítani, ez se tartalmaz jelszót, csak max egy user ID -t és egy egyedi azonosítót, amit adatbázisban tárol az adott felhasználóhoz.

Illetve süti lopást elkerülve szoktak IP -t is rögzíteni, ami ha ugyan az a tartomány akkor még elfogadja.

pl. 212.154.110.21 volt az IP -d akkor a 212.154.110.xxx tartományt elfogadja, de mivel mobilok esetén ez is változhat, így még Local Web Storage -be is lehet adatott rakni, így az IP és/vagy az ott tárolt adatok megléte is segít az azonosításban.

2016. okt. 29. 09:38
Hasznos számodra ez a válasz?

Kapcsolódó kérdések:




Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!