textarea и слеши

[RXL]

Шнибл, согласен с Chaa - ты смешиваешь все в одну кучу. После проведения авторизации тебе логин/пароль в сессии хранить нет необходимости.

Насчет хеширования и аутентификации. Процесс такой:
1) Сервер требует аутентификации и передает клиенту случайно сгенеренную строку. Эту же строку он сохраняет в сессии.
2) Клиент выполняет магические действия с полученной строкой, своим логином, паролем и мало ли еще с чем и отсылает результат на сервер.
3) Сервер делает то же, что только что проделал клиент, но строку он берет из сессии. Потом он сравнивает свой результат с полученным от клиента. Если все Ок, то ставит в сессии галочку, что клиент залогинен.

Вот и весь процесс. Хранить ничего более не нужно. Сверху можно накидать различных алгоритмов контроля за параметрами клиента и проводить переаутентификацию при их изменении, если очень надо.

--------
"Гарантию может дать только полис Госстраха (с) О.Бендер"

[Chaa]

В посте #19 описана возможность отключения добавления идентификатора сессии к ссылкам, чтобы он случайно не стал общим достоянием.
В посте #14 обсуждается проверка IP-адреса аутентифицированного пользователя. На мой взгляд, это единственное, что можно проверять.

1) Сервер требует аутентификации и передает клиенту случайно сгенеренную строку. Эту же строку он сохраняет в сессии.
2) Клиент выполняет магические действия с полученной строкой, своим логином, паролем и мало ли еще с чем и отсылает результат на сервер.
3) Сервер делает то же, что только что проделал клиент, но строку он берет из сессии. Потом он сравнивает свой результат с полученным от клиента. Если все Ок, то ставит в сессии галочку, что клиент залогинен.

Если есть возможность использовать HTTPS, то лучше его.

[Шнибл]

Покажи мне где я предлагал хранить в сесси логин|пароль ? по поводу смешивания всего в кучу, не согласен что при решении проблемы безопасности нужно закрывать глаза на подделку sessionID только потому что его сложно украсть. если бы  sessionID не перехватывалось, то вообще в данной теме разговоров таких можно было бы не заводить.. Просто на мой взгляд сдесь затронуты были такие вещи, что если хостер не нормальный то всё таки с этим кое что еще можно будет поделать.

По поводу проверки IP на мой взгляд большой процент подделок может приходиться на людей работающих в 1 фирме например в пределах конкуренции сотрудников отдела учитывая тематику сайта конешно. И что-то мне подсказывает что в большинстве организациях внешний IP один.

RXL всё правильно написал, только мне кажется с оговоркой, что пункт 3 должен делаться в каждом скрипте.

[RXL]

Шнибл, какой смысл повторять п3? Это делается лишь раз, при получении данных для аутентификации от клиента. Клиент не может генерить данные каждый раз - для этого нужны логин и пароль, а пользователь на каждой странице их вводить не будет.

[Шнибл]

если на странице авторизации (ххх.php) после успешного выполнения оной мыставим в сессии галочку, что клиент залогинен. , Далее переходим на страницу ууу.php, в случае когда на этой странице мы просто проверяем наличие этой самой галочки, то это не спасает нас в случаях с перехватом sessionID и обращении напрямую к файлу yyy.php. Согласен что каждый раз спрашивать у пользователя логин/пароль, да и вообще чтобы то нибыло выглядит довольно глупо, поэтому опрос такой надо производить без его участия.. с его браузером например, что при условии небольшой живучести сессии даст некоторые гарантии, не будет же человек 1 форум просматривать в течении дня, прыгая с 1 на другой браузер.. И в таком случае для подделки пользователя нам нужно узнать еще и версию его браузера, кроме sessionID.

[RXL]

Не понимаю, зачем ты застреваешь на перехвате session id? Ты его сначала перехвати - способов не так много, но далеко не у каждого есть для этого возможности. Если нужна повышенная секретность, то используй https (уже не раз в этой теме звучало).

[Chaa]

Полностью согласен с RXL. Почти все современные продукты,  написанные на PHP, построен на таком принципе, и от перехвата сессии пострадало не так уж много людей.

Про браузер:
Если у двух человек одинаковый внешний IP-адрес, то они скорее всего находятся в одной локальной сети, и выяснить, какой у твоего соседа браузер не составит никакого труда.

[Шнибл]

RXL реализация не так уж много времени занимает можно ей и не пренебрегать.
Chaa ну это ты как программер данного скрипта  знаеш что загвостка именно в браузере, и потом я специально жирным выделил чтобы указать что это пример и я не считаю что удачный.

Хорошо, давайте оставим эту тему именно в этом ракурсе. Если есть, что нового пишите с удовольствием почитаю.