Как защитить cookie?

Question

[FASis]

Надо создать 2 типа куки( время жизни 0 секунд и 30 дней) с этим проблем нет.

if ( $_POST['remember'] == '')
{
setCookie('user', $user);
} else {
setCookie('user', $user, time() + 86400 * 30, '/');
}

Но теперь возникает вопрос, как защитить куки от подделки? пофиг на их перенос, но главное чтоб нельзя было подделать. Какие могут быть варианты и технологии? Эти куки должны пропускать человека в панель управления, вот и возникает вопрос, что в них хранить для идентификации и как можно защитить от подделки?

Answer 1

[Сергей Соколов]

Хранить user_id и, разумеется, шифровать.

Comments

[FASis]

Создавать приватный ключ, а потом шифровать? А на приватных страницах проводить повторную шифровку на сервере и проверять? Можно подробнее про методику шифрования при наличии ключа

[Сергей Соколов]

FASis, надо использовать готовое решение по шифрованию. Например, в Laravel просто пара функций encrypt() и decrypt() – используется библиотека OpenSSL и алгоритм AES-256-CBC. Шифрование симметричное: один и тот же ключ используется для шифрования и расшифрования.

Если станете писать свою реализацию шифрования, скорее всего, накосячете.

Посмотрите встроенную функцию openssl_encrypt()

[sim3x]

Сергей Соколов, зачем шифровать?

[Сергей Соколов]

sim3x, чтобы владелец куки не мог подделать содержание

[sim3x]

Сергей Соколов, тогда ее нужно подписать, а не зашифровать

[Сергей Соколов]

sim3x, в Laravel Crypt нет готовых методов для подписи / проверки – только зашифровать/расшифровать. Отсюда и плясал в своём контексте.

[sim3x]

Сергей Соколов, https://laravel.com/docs/5.6/requests#cookies

All cookies created by the Laravel framework are encrypted and signed with an authentication code, meaning they will be considered invalid if they have been changed by the client

Answer 2

[Павел Корнилов]

Использовать сессию. Авторизировался - запись в сессию. Потом - проверка её наличия. Тогда подделать практически не возможно. Остальное - от лукавого.

Comments

[FASis]

как в этом случае установить время сессии?

[Павел Корнилов]

сессия сама умирает с закрытием броузера. Есть способы убить сессию искуственно, например, при нажатии на Выход.
session_destroy();

[FASis]

KorniloFF, а как сделать кнопку "запомнить"? чтоб даже после рестарта браузера была

[Павел Корнилов]

Вот в этом случае - нужно в кукисы запоминать. Но потом проверять не только сам кукис, но и ID. Тогда опять же, подменить будет очень сложно.
А что вы балуетесь? То ответом определили, то сняли. Я более чем уверен, что самостоятельно реализовать защиту лучше, чем в это уже сделано в механизме сессий, у вас не получится. А если есть встроенный и при этом - защищённый инструмент, то, ИМХО, лучше использовать именно его.

[FASis]

KorniloFF, Почему не происходит запись ? получается необходимый выбор, но вот данные записать туда не могу

if ( $_POST['remember'] == '')
          {
            session_name("user");
          } else {
            session_set_cookie_params(86400*30);
            session_name("user");
          }
          session_start();
          $_SESSION['user'] = $user->id;

[Павел Корнилов]

FASis, ну, тут, конечно, нужно глубже смотреть. Попробуйте для начала так:

// в начало
if(empty($_SESSION)) session_start();
// ...

if ( empty($_POST['remember']) )
          {
            session_name("user");
          } else {
            session_set_cookie_params(86400*30);
            session_name("user");
          }
          
          $_SESSION['user'] = $user->id;

Хотя мне не понятно, где определяется $user->id.

Answer 3

[Konstantin Malyarov]

javascript.ru/unsorted/id

Тут уйма видов идентификации пользователя со всеми видами защиты.

Answer 4

[Stalker_RED]

Прочитйте что такое cookie, как они работаю и ДЛЯ ЧЕГО ОНИ.
Хоть в википедии, хоть в любом учебнике (1, 2, 3).

Вы сейчас сталкиваетесь с проблемами потому, что пытаетесь использовать этот инструмент не по назначению.
Прям как в анекдоте про "вбить шуруп молотком проще чем закрутить гвоздь отверткой".

Этого вашего $user'а лучше бы записывать в сессию, а не в куки. Если сессия по каким-то причинам не применим, можно JWT применить (но это сложнее для новичка).