Sono nel bel mezzo della codifica di un modulo di login "ricordati di me", e finora le esercitazioni che ho letto (in parte per assicurarmi che lo stia facendo bene) dicono tutte di memorizzare la password crittografata in un cookie insieme al nome utente. Quindi, ogni volta che PHP controlla se l'utente corrente non ha effettuato l'accesso, controlla i loro cookie e cerca quei valori. Se il nome utente corrisponde alla password, ti trovi.Errore di sicurezza PHP "Remember Me"?
Per me, questo è un buco di sicurezza. Se qualcuno dovesse hackerare il database o in qualche modo ottenere l'accesso alle password crittografate, non avrebbero nemmeno bisogno di craccarle. Basta impostare i tuoi biscotti e andare. Sono corretto o semplicemente paranoico?
Il mio sistema di login utilizza le sessioni per tenere traccia dell'ID utente corrente e un 1/0 per un controllo rapido di accesso/disconnessione. L'utente non può modificare le sessioni AFAIK, quindi questo è sicuro (se non lo è, per favore fatemelo sapere). Stavo pensando di archiviare l'ID di sessione in un cookie, per poi riprenderlo, ma anche questo non è sicuro.
Mi preoccupo molto della sicurezza dei miei utenti, come posso proteggere adeguatamente le loro informazioni pur mantenendo un sito Web funzionante?
Non memorizzare la password crittografata, solo l'ID utente in un cookie che scade tra X giorni. Per le aree "sensibili" (gestione account/profilo, ad esempio), è possibile richiedere loro di accedere se non hanno un $ _SESSION valido (che è necessario impostare quando effettuano l'accesso). – JennyDanger
Come si sta attualmente memorizzando l'ID di sessione se la memorizzazione in un cookie è "non sicuro?" –
@georgefox al momento, non sto memorizzando l'ID di sessione in niente, stavo solo dicendo che è una possibilità per la funzione remember me. – Scott