이 쿠키는 http 쿠키 대신 사용할 수 있습니까?

Question

$ _SERVER md5 ($ _ SERVER [ 'remote_addr'] + $ _SERVER [ 'http_user_agent'])))를 cookie_auth 필드에 사용하는 것이 좋은 생각이라면 내 사이트에 php를 사용하고 있습니다. 사용자 테이블

사용자가 로그인하면 php는 위의 키를 사용하여 현재 사용자를 다시 확인하고 저장된 키와 비교하고 일치하는 경우 사용자에 대해 신임을받습니다.

문제는 사용자 에이전트가 변경되고 IP가 변경 될 수 있다는 것입니다. 내 주요 관심사는 사용자 사용자 에이전트입니다. IP 주소는 일반적으로 1 ~ 2 달 동안 유지되며 내 기본 사용자 기반에는 고정 IP 주소 (회사)가 있으므로 문제가되지 않아야합니다.

휘발성이 낮을 수도 있지만, 동적 일 수있는 다른 PHP $ _SERVER 변수가 있습니까?

나는 PHP의 매뉴얼을 가지고있다.하지만 나는 아무런 쓸모가 없다. 어쩌면 나는 뭔가를 놓친다.

다른 개발자가 이와 비슷한 것을 구현합니까?

생각하십니까?

더 좋은 방법이 있나요?

Answer 1

프록시 때문에 작동하지 않습니다. 동일한 사용자 에이전트가있는 두 명의 사용자가 방문하면 재난입니다.

일부 프로젝트는 세션 ID를 사용하는 모든 URL의 GET 변수에 전달하여 "쿠키없는 세션"을 수행 할 수 있습니다.

PHP는 실제로이 작업을 자체적으로 수행 할 수 있습니다. 그리고 PHP를 강제로 not use cookies at all으로 만들 수도 있습니다. 그냥 GET 변수로 전달하십시오.

그러나 몇 가지 단점이 있습니다. 자바 스크립트 코드에서 응용 프로그램의 URL을 호출하는 경우, 거기에 세션 ID를 삽입해야합니다. 또한 외부 링크가있는 경우 세션 ID를 referer (sic) HTTP 매개 변수를 통해 제 3 자에게 제공 할 수 있으므로 잠재적 인 세션 도용이 발생할 수 있습니다. XSS 구멍에 신중해야합니다. 응용 프로그램의 로그인 절차 중에 발생하는 세션 고정에주의해야합니다. 등등.

Answer 2

내 기본 사용자 기반은 고정 IP 주소 (회사) 하나 (모두 같은 브라우저와, 동일한 외부 IP 주소) MegaCorp에서 persone가 로그인 할 경우

그래서, 모든 사람이있다 로그인? 하지 마.

또 다른 이유는 동일한 영역 (동일한 프록시, 동일한 브라우저)에있는 모든 iPhone이 로그인했기 때문입니다. 침입하기 위해해야 ​​할 일은 단지 수백 미터 (일부 장소에서는 몇 킬로미터) 이내가되는 것입니다. 누군가 액세스 권한이 있으며 자동으로 부여됩니다.

은 (이러한 질문의 대부분이 발생한 곳이다)에 '암호없이 로그인'을 가지고 일반적으로 2 가지 방법이 있습니다

• 쿠키 이전 로그인에서 충분한 '추측 할 수없는 해시'로
• 설득 사용자가 HTTPS를 통해 유효성을 검사 할 수있는 인증서를 설치합니다.

Answer 3

대부분의 $_SERVER 변수는 공격자가 제어합니다 (remote_addr은 TCP 소켓에서 직접 가져 오므로 스푸핑되거나 다른 방법으로 변조 될 수 없습니다). 그러나 공격자는 사용자 에이전트를 다른 것으로 변경할 수 있습니다.

위알을 다시 발명하지 마십시오. session_start() 및 $_SESSION super-global은 안전하고 구현하기 쉽고 견고합니다. 이것을 사용하려면 모든 페이지의 헤더 파일에 항상 session_start()을 호출해야합니다. login.php에서 다음

if(!$_SESSION[logged_in]){ 
    header("location: login.php"); 
    die();//Yes php keeps executing so you need this! 
} 

:

if(login($_REQUEST[user],$_REQUEST[password])){ 
    $_SESSION[logged_in]=true; 
}