FAQ |
Kalender |
2009-08-22, 17:18 | #31 | ||
|
|||
Mycket flitig postare
|
Citat:
Om man nu sparar användarnamn, finns det någon nackdel med att spara användarnamnet i klartext som en cookie? Är det bättre med en nyckel som pekar på användaren i databasen? Eller något annat alternativ? Spara en krypterad variant av användarnamnet som cookie? Det kanske duger med någon simpel kryptering och samma statiska nyckel för hela sajten. Om man sparar användarnamnet i klartext som cookie kanske viss privacy-mjukvara ogillar det? |
||
Svara med citat |
2009-08-22, 17:23 | #32 | |||
|
||||
Mycket flitig postare
|
Citat:
Citat:
Sen finns det andra lösningar för att hantera dynamiska IP addresser också, som Clarence skrev, räcker det ofta med att använda klass C addressen. En påbyggnad på detta är att användarnamnet avgör vilka klass C-nät addresser som får logga in utan behöva skriva in lösenord, dvs. flera olika klass C tillåts för samma användare. Men det finns andra lösningar också. |
|||
Svara med citat |
2009-08-22, 17:38 | #33 | ||
|
|||
Flitig postare
|
Man skulle väll antagligen kunna kolla dom 2, eller möjligtvis 3 första blocken i IP-adressen för att se ifall dem stämmer precis som ni säger.
Chansen att en hacker på 3 försök skulle lyckas använda exakt samma user agent, samma ip-range och dessutom lyckats gissa rätt på den unika-slumpmässiga hashen borde ju vara en chans på bara någon promille? |
||
Svara med citat |
2009-08-22, 18:28 | #34 | |||
|
||||
Mycket flitig postare
|
Citat:
|
|||
Svara med citat |
2009-08-22, 18:30 | #35 | ||
|
|||
Mycket flitig postare
|
Om man sparar IP (de 16 eller 24 första bitarna) tillsammans med user agent, och tillåter flera auto-login-rader i DB per användare, kommer man dessutom förbi problemet med om användaren har olika webbläsare/OS hemma och på jobbet. Det kräver förstås att det är olika IP range hemma och på jobbet, men det lär det vara i de flesta fall.
|
||
Svara med citat |
2009-08-22, 18:37 | #36 | ||
|
|||
Mycket flitig postare
|
Citat:
|
||
Svara med citat |
2009-08-22, 18:43 | #37 | ||
|
|||
Flitig postare
|
Citat:
|
||
Svara med citat |
2009-08-22, 19:26 | #38 | ||
|
|||
Medlem
|
Citat:
|
||
Svara med citat |
2009-08-22, 19:27 | #39 | ||
|
|||
Mycket flitig postare
|
Citat:
Kanske så här någonting? (Föreslå gärna förbättringar.) auto-login-tabell: user-id (indexerad), ip (16 första bitarna), nyckel (>=128 bitar) (eventuellt även giltighetstid och user agent) Man sparar user-id och nyckel som cookies. När cookie-inloggningsförsök sker: Kod:
if(user-id och IP finns i auto-login-tabellen) { if(nyckel korrekt) logga in automatiskt else { radera raden från DB radera cookie banna IP för autoinloggning (under en viss tid), vanlig inloggning fungerar fortfarande } } else { radera cookie banna IP för autoinloggning (under en viss tid), vanlig inloggning fungerar fortfarande } Citat:
|
||
Svara med citat |
2009-08-22, 19:35 | #40 | ||
|
|||
Mycket flitig postare
|
Citat:
|
||
Svara med citat |
Svara |
|
|