безопасная авторизация без учета айпи

Question

[vvsh]

доброй ночи.
пометка: нужна авторизация без учета айпи (twitter, facebook пример, насколько мне известно там не выкидывает при смене айпи)
перечитав несколько статей не смог найти выход.
авторизация:
есть несколько способов
способ 1:
юзер вводит логин и пароль, пароль хэшируется на стороне клиента, отправляется на сервер, проверяются данные, если все ок генерируется случайное значение, хэшируется, или даже не случайное а айди сессии и пишется в сессию.
способ 2:
при генерации формы генерируется случайное значение пишется в hidden и в базу, юзер снова вводит логин и пароль, пароль хэшируется, потом хэшируется вместе с доп значением и отправляется на сервер там проверяется и снова пишется значение в куки.

теперь функция запомнить мои данные на этом компьютере.
тут начинаются проблемы, если поступать теми двумя способами и проверять при открытии юзером сайта значения (сравнивать куку с базой) то можно украсть куку и авторизироваться. Какой придумать выход?
спасибо

Comments

[vvsh]

p.s. запустил https.
следующий вопрос, допустим я открыл страницу авторизации через https. вошел, потом редирект на обычную версию. если я запишу безопасную куку. то если произойдет редирект кука станет недоступна. как тогда организовать запоминание?

Answer 1

[petrovi4]

Ой, кажется мне вы очередной велосипед изобретаете.
При логине отправляйте логин и пароль на сервер (используйте https чтобы не было перехвата), формируйте sessionId и пусть пользователь ходит по вашим страницам/запрашивает сервисы с этим Id.

Comments

[vvsh]

а если юзер выйдет с сайта (закроет браузер) потом откроет а сессия недействительна и его выкинет а если писать в куку — можно украсить и подменить

[vvsh]

*украсть

[vvsh]

допустим я буду использовать https для авторизации… а если например опять же юзер закроет браузер и снова откроет, то как его опять же безопасно авторизовать?

Answer 2

[Владимир Чернышев]

Хэшировать различные заголовки браузера (user agent, accept * и т. д.) — невелика подстраховка, но всё же лучше чем ничего.

Comments

[Владимир Чернышев]

А привязку к IP неплохо бы сделать опциональной для пользователя

[vvsh]

привязку к айпи сделаю опционально, хорошо.
а юзер агент украсть можно? знаю что можно заменить… а вот украсть с конкретного компа?

[Владимир Чернышев]

Узнать можно.

Answer 3

[sajgak]

вот в принципе описан не плохой вариант в песочнице

Answer 4

[splatt]

Если не делать проверку ip, всегда есть вероятность, что украдут куки. Единственный выход — стопроцентный SSL и быть на 100% уверенным, что на сайте нету XSS.
Я бы посоветовал, как уже писали выше, сделать проверку IP по желанию пользователя.

Comments

[Владимир Чернышев]

Проверка IP кстати тоже не панацея, пользователи одной локалки, сидящие за НАТом имеют один IP.

Answer 5

[Анатолий]

javascript.ru/unsorted/id

Answer 6

[Сергей]

Есть вариант независимую от IP куку держать на одном домене, зависимую от IP на другом основном. В случае смены IP у пользователя делать кроссдоменную авторизацию. Вконтакие так делают. Как реализовать смотрите, например, в докладе Ильи Кантора addconf.ru/event.sdf/ru/add_2010/authors/136/174