我爲CodeIgniter構建了一個自定義驗證系統(我知道有各種第三方庫可用,但這是爲了我自己的利益),但我擔心我錯過了明顯的可能會帶來整件事情都下降了CodeIgniter驗證安全模型
我使用CI會話(通過數據庫)並加密cookie值,可能會導致一些可能毫無意義的混淆。登錄通過SSL進行(並且Cookie被修改爲僅安全)。我也使用phpass來存儲密碼,雖然這在這裏沒有真正的相關性。這部分某處可能存在薄弱環節,但我主要擔心的是頁面到頁面檢查基本上包含if is_logged_in = true類型的方法以及他們在會話中的用戶名。這一點讓我擔心,因爲它看起來有點太「容易」。這種方法很脆弱嗎?我是否應該計算一個由用戶代理或其他方式構成的逐頁散列,並確保它們匹配?
任何指針將不勝感激。就像我說的,我知道現有的解決方案,但我試圖在這裏學習一些學習:)
你提到的一切都很好。但是我不熟悉phpass。確保當你散列密碼時,你使用的是鹽。
由於會話數據存儲在服務器端,因此檢查是足夠的。檢查諸如用戶代理之類的事情的原因是爲了防止會話劫持,即一個人獲得另一個人的會話ID。
PS:我不是安全專家,所以我更喜歡使用的系統由安全專家檢查:OpenID的,Facebook的連接,微博(OAuth的),谷歌登入等
但這裏是我的清單(我可以認爲):
$_SESSION['is_logged_in'] =>$var = filter_var($_SESSION['is_logged_in'], FILTER_VALIDATE_BOOLEAN, FILTER_NULL_ON_FAILURE);AGAIN您應該對來自服務器的所有輸入執行此操作,因爲它們不安全。最好的方法是使用白名單而不是黑名單。因爲有機會你會錯過什麼。我不熟悉phpass,但檢查它是否使用MD5,因爲如果它確實不夠好。使用加密http://www.memonic.com/user/pneff/id/1qHCT
+1用於醃製密碼 – 2010-12-14 20:06:40
phpass用salt然後用bcrypt哈希。會話劫持是一個很好的觀點。我知道CI在會話數據庫中跟蹤用戶代理,但我不太確定它是如何處理的。值得檢查! – Toast 2010-12-14 20:32:00