Я рассматриваю возможность использования системы сопоставления файлов cookie-ip для автоматического входа в систему без необходимости вводить свои данные для входа, если они находятся в известной системе, и их ip не изменился.Система регистрации на основе файлов cookie
Является ли эта политика приличной или я открываю главное отверстие безопасности?
Ỉt может быть потенциальной проблемой безопасности, поскольку некоторые люди используют общедоступные машины. Поэтому сделайте это необязательным. Также необходимо учитывать, что некоторые машины используют динамическую IP-адресацию. Вы предлагаемый метод не будет работать в этом случае.
Но прежде всего НЕ Сохраните пароль в файле cookie.
Просто создайте ссылку «Выход», где вы непосредственно перед тем, как удалить свой файл cookie, выберите свою электронную почту и отправьте их по электронной почте с хешем, который восстанавливает их cookie. Поэтому они могут выйти на общедоступные машины.
Sanitize cookie перед обработкой через базу данных.
кнопка выхода из системы удалит файл cookie, и им придется повторно ввести данные. Я просто спрашиваю, является ли это дырой в безопасности. Печенье можно подделать. Если кто-то может изменить ip-адрес, они могут получить незаконный доступ к моему сайту. – ppp
Если вы не сохранили все данные перед удалением файла cookie. Отправьте им ссылку по электронной почте, чтобы сбросить файл cookie. IP-адрес может быть изменен только в Cookies, поэтому вам нужна лучшая безопасность (в сочетании с проверкой электронной почты может быть оно. –
Это, конечно же, отверстие для безопасности, поскольку, если пользователь заходит на ваш сайт и забывает выйти из системы, любой, кто использует этот компьютер (с той же учетной записью на компьютере), сможет войти на ваш сайт.
Обратите внимание, что эта проблема также встречается для всего веб-сайта, но она обычно ограничена временем жизни сеанса.
Поскольку все веб-сайты работают, я не думаю, что это настоящая дыра в безопасности, но это определенно побуждает пользователей проявлять неосторожность в отношении безопасности. Это отверстие для защиты стула/клавиатуры: P
Как @Ed Heal говорит, не храните пароль в cookie, вместо этого сохраните случайный токен, который вы сохраните в БД. Процесс входа в систему должен проверить, является ли файл cookie, хранящийся в БД, равным тому, который находится в файле cookie.
Я не против того, чтобы метод не работал над некоторыми сценариями, я просто хочу предоставить его как дополнительную, а не как базовый системный журнал. Если это не удается, они просто заходят на экран входа в систему и вводят свои данные. Я также не против предоставления доступа другим пользователям того же доступа к машинам. Я думаю, что ответственность пользователей за регистрацию при использовании общедоступных машин. И, конечно, сохранение пароля было бы преступлением с моей стороны. – ppp
Почему бы не принять метод, которым пользуется Yahoo (среди других)? Установите флажок, чтобы вы вошли в систему. Затем по умолчанию, когда браузер закрывается, они выходят из системы. –