Я создал пользовательскую систему auth для CodeIgniter (я знаю, что существуют различные сторонние библиотеки, но это для меня лично), но я беспокоюсь, что мне не хватает чего-то очевидного, что может привести к в целом предмет down.CodeIgniter auth security model
Я использую сеансы CI (через базу данных) и шифрую значения cookie для немного, возможно, бессмысленной обфускации. Логины проходят через SSL (и файлы cookie изменены только для обеспечения безопасности). Я также использую phpass для хэш-паролей для хранения, хотя это и не актуально. В этой части может быть слабое звено, но моя главная проблема заключается в том, что проверка страницы для страницы в основном состоит из подхода типа if is_logged_in = true
и их имени пользователя в сеансе. Этот бит касается меня, поскольку он кажется слишком «легким». Является ли этот подход весьма уязвимым? Должен ли я вычислять поэтапный хэш, скажем, пользовательского агента или что-то еще, и убедиться, что они совпадают?
Любые указатели были бы очень признательны. Как я уже сказал, мне известно о существующих ранее решениях, но я пытаюсь научиться чему-то учиться здесь :)
+1 для соления пароля –
phpass делает соль, а затем хеширует с помощью bcrypt. Удержание захвата является хорошим моментом.Я знаю, что CI отслеживает пользовательский агент в сеансовой базе данных, но я не слишком уверен, что с ним происходит. Стоит проверить! – Toast