Quelle est la meilleure façon de mettre en œuvre “se souvenir de moi” pour un site web?

• voir aussi:stackoverflow.com/questions/549/... vous ne devriez PAS lire "l'amélioration" de la version
• Le problème avec ceci est que vous obtenez le nom d'utilisateur dans le cookie, si c'est ce que Gmail n'. Pourquoi avez-vous besoin d'une série d'ID et un jeton? Ne serait pas une plus grande jeton d'être beaux?
• non, ce ne serait pas l'amende et l'article explique pourquoi
• merci pour cela. Pourquoi?
• l'article décrit en détail. la série est utilisé pour atténuer les résultats d'un cookie vol.
• Assurez-vous également que le fait de changer le mot de passe d'utilisateur ou le mot de passe de récupération de l'information exige le mot de passe original. Si le cookie est compromis, l'attaquant ne peut empêcher le propriétaire d'origine de l'accès au compte.
• quelqu'un peut-il expliquer quand la série identificateur de changement? si jamais, puis stocker le nom d'utilisateur crypté et le jeton sera suffisant?
• l'ensemble du concept de la série identificateur n'a pas de sens en tant qu'il est décrit ici.
• Une nouvelle série identificateur est émis lorsqu'un nom d'utilisateur valide/mot de passe est présenté pour authentifier l'utilisateur (au lieu d'un jeton). Cela commence une nouvelle série aléatoire de jetons utilisés pour identifier ce (long) à la session de connexion.
• auriez-vous besoin de cela? Il vous suffit de créer un nouveau jeton UNIQUE...il n'y a aucune raison qu'un seul utilisateur ne pouvait pas avoir plusieurs jetons...un pour chaque connexion....Jeton Un Jeton B, Jeton de C...il n'y a pas besoin d'un identificateur de série.
• Aussi, concernant ce modèle, qu'il pour empêcher un pirate de voler et de placer le cookie sur son ordinateur et de supprimer les cookies de l'ordinateur piraté. Son ordinateur que d'être authentifié et mis à jour au besoin avec l'ordinateur piraté jamais connaître? Le seul changement serait que l'piraté les ordinateurs d'utilisateur pour vous connecter à nouveau et le jeu se souvenir de moi. Si oui ou non l'piraté utilisateur reconnaît ce serait incertain.
• Vous devez ajouter de l'ordinateur caractéristiques..pour l'unicité soit une adresse MAC ou un ensemble d'autres caractéristiques, comme l'agent utilisateur, la résolution de l'écran, etc.
• N'est pas est plus stable pour utiliser un ID au lieu d'un nom d'utilisateur de sorte que vous n'avez pas à vous soucier de tout sensibles à la casse et tous les autres problèmes qui viennent avec des cordes?
• J'ai posté une question à propos de cette réponse: stackoverflow.com/questions/10957584/...
• L'Identificateur de Série est de prévenir une attaque de DoS. Sans elle, je pourrais écrire rapidement un script sur votre site avec tous les nom d'utilisateur et un invalide jeton, l'exploitation forestière tout le monde sur votre site.
• Pourquoi ne pas ajouter un hash du nom d'utilisateur à la place?
• Si un nouveau jeton est généré uniquement à l'étape 3.1, qui ne se produit que pour un non-utilisateur connecté, ne serait pas le nouveau jeton être envoyé à chaque requête d'un utilisateur connecté? Cela laisse beaucoup de chances pour qu'un paquet soit intercepté. Pourrait ce cookie être configuré pour envoyer uniquement lorsqu'il n'est pas connecté?
• définir le chemin du cookie sur le chemin de l'auto page de connexion
• J'ai mis en place cette solution hier et je pense qu'il fonctionne bien, quelque chose qui n'est pas mentionné, c'est la façon de traiter avec des " orphelins de l'authentification des informationin la DB. Lorsque l'utilisateur manuellement efface ses cookies le cache, l'authentification de l'info dans la base de données est orphelin. Peut-être la mise en œuvre d'une mise à jour automatique de timestamp dans la table et manuellement en supprimant toutes les données d'authentification d'un certain âge serait une bonne idée.
• Été un certain temps, mais j'espère que c'est ok. Pourriez-vous expliquer pourquoi un identificateur de série aide à prévenir l'attaque de Dos? Comme HiroProtagonist, je ne vois pas beaucoup de différence entre l'utilisation de plus de jeton et l'identificateur de série + clé.
• Si vous venez d'utiliser une longue jeton, et de détruire toutes les séances pour un utilisateur non valides jeton arrive, je peux écrire un script qui frappe votre site avec tous les nom d'utilisateur et de tous les 0 pour le jeton pour se connecter tous les utilisateurs. En boucle, on ne peut jamais véritablement à la connexion. Si la Série jeton est toutefois nécessaires avant que le serveur actes contre des sessions, l'attaque de DoS est empêché.
• l'id e-mail est inclus afin de maintenir le caractère unique, car il peut arriver que la même jeton est généré pour les deux comptes différents
• Pourquoi auraient-ils être déconnecté? Je ne vois que "se souvient séances sont supprimés", ce qui signifie que vous pourriez efficacement le DoS de la rememberme fonctionnalité, mais pas l'ensemble de l'authentification, de droit?
• Version améliorée ne fait pas de fournir un niveau de sécurité supplémentaire, seulement une illusion de lui.Comme @Jens Roland affirme, à peu près n'importe quel vecteur d'attaque qui permet à l'utilisateur de voler le cookie permet également d'être supprimé de l'ordinateur piraté.
• Pourriez-vous fournir une version simplifiée avec seulement nom d'utilisateur + jeton juste dans le but de comprendre les principes de base ? (Alors, je vais être en mesure d'ajouter le série)
• Si l'utilisateur a une mauvaise connexion internet pourrait-il être un problème lors de la réception d'un nouveau jeton? Exemple, les demandes de l'utilisateur de connexion avec un jeton, connexion internet tombe en panne, le nouveau jeton généré sur le serveur, un nouveau jeton n'est pas reçue par l'utilisateur, l'utilisateur essaie de nouveau avec de l'ancien jeton, cela est considéré comme une tentative de hack et tous les jetons sont retirés de db, l'utilisateur dispose désormais de vous connecter à nouveau
• Chrome envoie une requête de chargement lorsque vous tapez l'URL dans la barre d'adresse. Cela peut entraîner le souvenir de moi le code à exécuter prématurément, ce qui risque d'invalider le jeton à la fois le réel requête est exécutée lorsque l'utilisateur appuie sur entrée dans la barre d'adresse. Je n'ai pas vu un moyen facile de contourner ce problème, sauf pour utilisation statique cookie ne change pas lors des connexions suivantes. Quelqu'un d'autre rencontre ce problème?
• Cette solution est FAUSSE, il ne gère pas les cuncurrency: Si deux souvenir de moi " demande d'authentification arrive en même temps, avec le même souvenir de moi cookie, le premier réussit et modifie le jeton, le second provoque une unsucceesfull d'authentification, et une fausse alarme (parce que le jeton a déjà été changé par la première demande). (Cette situation peut se produire lorsque le navigateur démarre et le site est restauré dans les deux onglets du navigateur.)
• Dans ce cas, les conditions de course sont moins importants que le fait de prévenir les attaques de relecture. Condition de course: manuellement à ouvrir une session. Replay attaque: Jetons de devenir plus souhaitable pour voler, car ils ne sont pas un nonce.
• La présentation d'une fausse alerte à l'utilisateur est très indésirable. Si c'est à cause des raisons mentionnées par slobo, craigrs84, ou Frogga, cette solution génère ces fausses alarmes régulièrement.
• Cette question et la réponse très bizarre. Il n'est pas mentionné, si l'id utilisateur doit être stocké sur un client et envoyée avec la série et un jeton de validation. Donc lecteur doit deviner que la série est probablement un remplacement pour l'utilisateur. Deuxième problème, la question est fermée, de sorte que la source de l'info sont des commentaires. Troisième problème: la simultanéité. Et ce n'est pas petit en raison de l'ouverture d'un même site dans 2 onglets à la fois, est très fréquent. Et vous ne voulez pas échouer, même 1% du temps.
• une solution possible serait de stocker 2 jetons (ancienne et actuelle) à chaque session dans la base de données. Si la précédente est reçu, cela signifie actuel n'a pas été reçu et un nouveau courant est généré et s'en retourna. Si le courant est reçu, le courant devient précédente et un nouveau courant est généré et s'en retourna. Ceci, cependant, ne résout pas le mentionné ci-dessus des problèmes de concurrence.
• "Un nouveau jeton est généré" ..! Pourquoi? Pourquoi à chaque fois que je dois créer un nouveau cookie?
• Voici un golang mise en œuvre: github.com/janekolszak/rememberme
• La réponse dit "Si l'identificateur de série est présent et que le hachage de l'jeton correspond à la valeur de hachage pour que identificateur de série, l'utilisateur est considéré comme authentifié. "L'identificateur de série n'est pas hachée, donc cela n'a aucun sens. Je pense que ce qu'il essaie de dire, c'est "Si l'identificateur de série est présent dans le cookie et la valeur de hachage du token dans le cookie correspond au hachage du jeton stockées dans la table à côté de celle de la série de l'identificateur de l'utilisateur est considéré comme authentifié. "
• Comme à comprendre le besoin de créer de hachage pour le nom du cookie et la valeur. Écrire dans mysql. À la page de connexion de vérifier si le cookie avec un nom particulier (hash) existe. Si oui, puis sélectionnez mysql où le nom du cookie et la valeur est la même que dans mysql. Si oui, puis, à partir de mysql obtenir l'id utilisateur et un ensemble de sessions utilisateur est connecté et l'id est mysql id. Suis-je la corriger? Comprendre cookie identifiant est le nom du cookie?
• Je me demande pourquoi j'ai besoin de 2 chiffres aléatoires insteed de jeton unique? Est que quelqu'un dit de SÉCURITÉ, alors je dirais, diable permet d'utiliser 100 aléatoire tokents ensuite.
• Les gars, vous devriez lire cet article lien, il nous dit que si un pirate accède à un récit de la victime, puis le pirate a T_1, la victime a T_0, et lorsque la victime d'accéder à son compte, il peut savoir que quelqu'un a accédé à son compte parce qu'il a T_0 (l'invalide jeton et de la validité de la série).
• Yo fait les mises à jour 444 😀
• "Si quelqu'un parvient à fuir la table de base de données, il ne donne pas un attaquant une porte ouverte pour usurper l'identité d'utilisateurs de" Il ne. Mais seulement jusqu'à ce que l'utilisateur utilise le site à nouveau. Si quelqu'un vole identificateur de série et un jeton alors que l'utilisateur n'accède pas au site, alors il fonctionne comme un charme.
• J'allais poser exactement la même question. Vous avez entièrement raison, si l'utilisateur dispose de deux onglets sont ouverts, il le sera déconnecté de deux onglets (même si il a été authentifié dans le second). Je suggère que le jeton est mise à jour à chaque connexion ou de déconnexion et pas à chaque appel.
• il ne fonctionne pas bien parce que lorsque l'utilisateur obtient l'accès à la table de base de données, tout ce qu'ils vont obtenir, la série et le haché de jeton. Donc, si ils ont créé deux témoins, un pour chaque, le jeton sera toujours voués à l'échec parce qu'ils ont une version cryptée de l'original
• comment la série de prévenir une attaque de DOS? Qu'est-ce qui m'empêcher d'écrire un script qui tente toutes les variantes de la série biscuit avec le jeton de mise à '1', ça va aller par le biais de journaux et de tout le monde
• Pas si vous avez simplement traiter les RememberMe jeton comme un mot de passe et de ne stocker ses HMAC.

Tous les commentaires

• Cela peut être brute forcé en quelques secondes. Je vais juste mettre mon user_id à 1 et de la force brute tous les jetons. Ça va me donner l'accès en quelques secondes