Manter Logado com SEGURANÇA

[mkboy 1]

O cliente quer que a administração dele ele não precise ficar logando toda hora, falei que assim é mais seguro, mas cliente é cliente!Atual o sistema ta todo com session!Tava pensando em criar um cookie na maquina dele só pra pular o login, e o resto deixar com session mesmo!Tens algumas dicas de manter o sistema logado ou campo senha preenchido sem comprometer a segurança do sistema?

[mkboy 1]

Da alguma diferença, se ao invés de gravar a senha do cliente no cookie, eu gravar o ID dele e quando ele entra no site eu faço um select e preencho o campo senha!Será que assim fica mais seguro!"Select from tb_cliente where b_id = "ID que ta no cookie"Ae preencho o password!O que acham?

[Mário Monteiro 179]

você pode gravar login e senha(criptografada) num cookie mesmo e ai toda vez que o cara entrar você verifica se tem algo no cookie se não tive vai pro login mesmo...

[mkboy 1]

Como gravar CRIPTOGRAFADO no cookie!

[Mário Monteiro 179]

criptografa antes de gravar ora...

[mkboy 1]

Sim, sim!Mas sou uma negação em criptografia, ja olhei uns links que você me postou outro dia mas nao rolou, heheTava pensando em gravar no cookie o ID dele, e quando ele entrar no site, eu faço um select no banco com aquele ID e preencho o campo password!O que vcs acham? Fica seguro assim?Isso só pra administrador, demais nao.

[explore 3]

Por ID!!!!!!!!!!!!Acho melhor criptografar!

[mkboy 1]

Tudo bem, criptografar é melhor, mas eu não sei criptografar!E gostaria de saber, se por ID oferece alguma INsegurança ao meu sistema!

[naofuieu 0]

Se você tiver tentando fazer isso numa intranet, dá p/ usar o login do WINDOWS p/ simplificar. Tem uma revista chamada WWW.COM.BR, da editora Europa, que ensina isso na edição de Maio de 2005. Eu acho que ainda tah em algumas bancas.

[mkboy 1]

É pelo loguin do windows eu consigo, só que não é uma intranet! É um site mesmo!Valeu!

[naofuieu 0]

Ah, então você põe num cookie mesmo, jah q c ñ sabe criptografar (ñ eu, diga-se de passagem). Soh q você tem que saber apagar esse cookie no momento certo p/ que ninguém "indesejado" tenha acesso às pág.

[explore 3]

ve se ajuda galera

 

http://www.imasters.com.br/artigo.php?cn=703&cc=2

[Mário Monteiro 179]

se é pra logar com informações amostra no cookie tanto faz usar o id ou o login, só não poe a senha oras...grava o login e pergunta se tem algo no cookie se tiver o cara já estará logado...

[eduferrari 0]

Kara tenta criptografar a senha quando o cara faz o cadastro de login, depois quando for gravar no cookies a senha sa esta criptografada.no setor de banco de script eu postei uma function que criprografa a senha.talvez te ajude

[[ GuTo ] 0]

Cara, se você por o login por ID do cara, me avisa, que eu vou tentar hackear seu site.. hehehe.Pensa aqui numa hipótese ( eu mesmo já tive essa idéia e avalie cá comigo mesmo que ela é totalmente insegura )Vejamos então:Estou EU bem tranquilo usando um dos computadores do laborotário de informática de minha faculdade. Seu site, é moda, todo mundo visita ele na minha faculdade. Eu costumo visitar seu site todos os dias, após o término de minha aula, sempre dou uma passadinha lá no mesmo "labin", porém em máquinas diversas.Ok até aí?O administrador do labin, não limpa os cookies das máquinas nem nada, até aí normal.Só que tem um cara, que meche com sites, faz faculdade de Ciências da Computação, o cara é fera, metidinho a hacker e tal.Ele é conhece seu site, e está acessando ele de sua casa.Ele descobriu, ficou tentando e conseguiu, como no seu site o sistema de AUTO-LOGIN funciona, que é gravado um cookie e talz. Ele foi verificar esse cookie, e percebeu q nele é gravado o seu ID de usuário.Daí ele pensou cá com ele: "Será que se EU editar este arquivo, colocando um outro ID qualquer, e acessar o site, eu me logo com o ID do respectivo dono/usuário? Puxa vai se legal, hehe, vou brincar e zuar um monte. Piiiiiioooor, e se eu colocar o ID do administrador do site? hehehehe, daí sim vou fazer miséria."Daí deu, seu site tá com um problemão. Pois o cara pode ficar na moita, e ficar mechendo em tudo. Até você descobrir, ele já terá mechido em muitos users. pegou tudo q lhe interessava e já eras. Você pode até vir a não saber disso por mto tempo.Se ele entrar no labin da faculdade, sendo q um um cara que tava usando o pc anteriomente tava no seu site, e ele acessar o seu site tbm, pronto! Vai entrar logado como o outro cara.Eu nao sei dizer o que você deve fazer ao certo.Criptografia é que parece ser seguro.Mas salvar user e senha CRIPTOGRAFADOS num COOKIE, não vem a ser perigoso?Que CRIPTOGRAFIA usar? a MD5?Seria segura mesmo? Não tem como decriptar ela?Eu não sei, se alguém souber, diga-me.Abraços

[Mário Monteiro 179]

bem guto até ai eh verdade se o cara gravasse o cookie pra todos usuarios, mas pelo que entendi só quem vai logar automaticamente são os admins, então ele grava o cookie só pra quem logar como admin...bem não deixa de ser inseguro, mas não fica assim tão vulneravel pois só o admin vai poder fazer isso (trocar id por outro), ou seja no maximo ele vai trocar por um de nivel inferior ao seu, ou se quiser zuar com a pessoa não é um admin que preste...como disse tb concordo que criptografio é o minimo se for fazer um lance desse pra todo mundo, mas se for só pro admin mesmo até da pra relevar...

[naofuieu 0]

Eu pensei em uma solução um pouco mais trabalhosa p/ hackers.Em vez de salvar o ID e/ou a SENHA do admin no cookie, você grava o ID e a data c/ hora (hh:mm:ss) nele, além de ter um campo no bd p/ atualizar essa data e hora. Daí, você faz a comparação com o ID e a data e hora q tem no bd (atualizado) qdo acessar outra página. Mas tem que lembrar de fazer logoff p/ poder apagar o cookie.você ñ precisa criptografar nada e o hacker q quiser se aventurar na sua página vai ter que ter um poder de adivinhação surpreendente p/ saber a data e a hora (c/segundos) q o admin entrou.

[[ GuTo ] 0]

Acho é que você deve explicar ao seu cliente o por que de tudo.Explique que o melhor, mais seguro, é ele escrever seu login e senha e se logar SEMPRE.Que se ele quiser ter maior rapidez, salve o login e senha, os dados de preenchimento do form, no navegador dele. No firefox tem esta opção, sempre que você submete dados de um form q contenham um campo do tipo passoword.Então, convença seu cliente.Abraços

[Mário Monteiro 179]

Acho é que você deve explicar ao seu cliente o por que de tudo.

 

Explique que o melhor, mais seguro, é ele escrever seu login e senha e se logar SEMPRE.

Que se ele quiser ter maior rapidez, salve o login e senha, os dados de preenchimento do form, no navegador dele. No firefox tem esta opção, sempre que você submete dados de um form q contenham um campo do tipo passoword.

 

Então, convença seu cliente.

 

Abraços

eh uma boa e argumentos não faltam, mas tem cada cliente tb que putz, não entende nada...