[会话] COOKIE用户验证的构思可行性,请教

hitty

最近做一 用户管理系统(通行证系统)

系统涉及大流量在线访问、跨域(服)，以及安全方面的问题

目前按这样的思路进行站点 通行证 的设计：

管理系统 要有一个密钥（或者一组密钥）
如:
$key=md5('8234jfds');

登录成功后部分只要设置这样：

1. 
   
2. $pass_id=md5($pass.$key);//加密密码
   
3. $chk_id=md5($uname.$pass_id.$key);//加密验证串
   
4. 
   
5. setcookie('name',$uname);//用户名
   
6. setcookie('pass',$pass_id);
   
7. setcookie('chk_id',$chk_id);
   

复制代码

验证的时候如下对比，即可认为是否合法登录：

1. 
   
2. if(md5($_COOKIE['name'].$_COOKIE['pass'].$key)===$_COOKIE['chk_id'])
   
3. {
   
4. return true;
   
5. }
   
6. else
   
7. {
   
8. return false;
   
9. }
   

复制代码

想完全代替SESSION不知可行否，是否存在漏洞?

[ 本帖最后由 hitty 于 2005-12-28 10:45 编辑 ]

wobushiwo

cookie一般不能跨域名

而cookie这种不保存明文的做法是基本的，以前是从这种方式转到使用session的

漏洞谈不上，安全性差点

hitty

原帖由 wobushiwo 于 2005-12-28 10:24 发表
cookie一般不能跨域名

而cookie这种不保存明文的做法是基本的，以前是从这种方式转到使用session的

漏洞谈不上，安全性差点

安全性方面是否指的是 $key 容易被破解?

是否可以采用不同的一组$key来增加安全性
$key[1]，$key[2]，$key[3]...

还有一个郁闷的地方就是 COOKIE
被盗时可能会导致 用户身份被冒用

wobushiwo

不是指破解，是拿到那串MD5后，以后我直接使用那一串验证了，不用知道你原来是什么啊

hightman

强烈建议在计算摘要或加密原始字符串中加入IP地址信息, 可以是字符型也可以用整型(ip2long)来表示.

cookie 总是有可能泄漏或被拦截盗取. 它根本不必解密(这里的md5没什么用), 而是把原始的字符串作为自己的 cookie value 发送即可.  (特别是你的网页有可能被加载js代码的, 这个东西防不胜防... :p)

简单举个例子, [IMG] 标签大家很熟, 但过滤不仔细的话会被利用把cookie发送出去 (<JS>:document.cookie)

验证信息的时候加上IP验证, 这样被攻击的可能性减到最小.

hitty

加个时间限制

1. 
   
2. if(($_COOKIE['c_time']-time())>=(60*30))
   
3. {
   
4. .......//超时处理
   
5. }
   
6. else
   
7. {
   
8. #每访问一次更新一次时效
   
9. $c_time=time();
   
10. setcookie('c_time',$c_time);
    
11. $chk_id=md5($uname.$pass_id.$c_time.$key);//此时验证串将发生未知性改变
    
12. .......
    
13. 
    
14. }
    

复制代码

[ 本帖最后由 hitty 于 2005-12-28 13:40 编辑 ]

HonestQiao

如果是你自己应用，你可以自己添加一个加密解密的的对对函数啊。


最简单的判别例如加入时间的校验。

gydoesit

原帖由 hightman 于 2005-12-28 13:31 发表
强烈建议在计算摘要或加密原始字符串中加入IP地址信息, 可以是字符型也可以用整型(ip2long)来表示.

cookie 总是有可能泄漏或被拦截盗取. 它根本不必解密(这里的md5没什么用), 而是把原始的字符串作为自己的 co ...

我对你说的用img标签能发送cookie很感兴趣,请给一个完整例子.

另外,楼主的cookie加不加时间问题不大,
你直接加入这两个参数就行了.
ip,port


但是楼主,这都不是关键,关键在于,cookie不能跨域,你的心血似乎已经白费.
另外,在服务器端你还要请求验证服务器吧,把你的请求验证服务器的代码发来看看

gydoesit

原帖由 litie123 于 2005-12-28 14:34 发表
如果你想跨域实现用户验证，建议你在生成一个session_id以后在每一个超链接后面加上参数：
如  abc.com/aontent.php?action=view&article_id=1234&sid=jfidoa7u83952kjlafhkjdlsa
取得sid值以后从数据 ...

那就是不用cookie,而是有get传递,这样访问的每个页面都有一长串参数.yahoo就是这么作的.不知其他大站是不是也这样.