Cookies

Mam obrovsky problem. Mam system logovani zaregistrovanych uzivatelu na svem webu resen pres cookies. Pri zalogovani se do promenne $xxx ulozi jmeno zadane pri logovani do formulare (samozrejme se nejdriv zkontroluj v MySQL, jestli jmeno i heslo sedi) a nasledne s touto promennou pracuji. Vsem mym zaregistrovanym uzivatelum vse bezchybne funguje, jen jednomu ne. A to bohuzel dost zvlastnim zpusobem. Nekde se to proste chova, jako kdyby v promenne $xxx jeho jmeno bylo (viz napriklad menu, pod kterym je napis User: echo $xxx), tam sve jmeno ma, ale jinde se mu nezobrazuje, do knihy hostu se jeho jmeno neuklada a jeho prispevky jsou beze jmena apod.
Chci poznamenat, ze cookies zaple ma, kontrolovali jsme si to, pouziva IE 5.0, Windows 2000. A take to, ze cely web jsem prevedl na webzdarma z jineho serveru, kde mu vse fungovalo.
Hups, tak to nevím:o). Možná to předělat přes sessions je to lepší, jistější... Já to tak mám a fuguje to:-).
A navic, kdo nema kookise má smůlu?
Ja s cookies moc zkusenosti nemam, ale zarazila me tato poznamka ...

> cely web jsem prevedl na webzdarma z jineho serveru, kde mu vse fungovalo.

... Nemenil jsi take adresarovou strukturu ?

Jestli tedy k jine zmene nedoslo ... jaka verze PHP byla na tom puvodnim serveru? ... tusim, ze v PHP3 se cookies hlavicky zpracovavali v opacnem poradi nez byli uvedeny v kodu a tak by se mohla pripadna chyba browseru projevit jinak.

Radek
já mám z cookie jenom malé zkušenosti a dělám to podobně jak Ty. Možná je problem v nějakém serveru přes který to jde. A nebo je chyba v programu.
Hm, to je sice hezky, ale ani po desatym zkontrolovani skritpu jsem zadnou chybu nenasel. A jak rikam, vsem krome tohohle jednoho to funguje bez chybicky.
no a co vůbec uvedl za heslo nebo za login. Třeba jsou tam nepovolené znaky?
Už psal, že jen jedno písmeno...
... jestli je to jedno pismenko trebs 0x01 ... tak bych se ani nedivil :o) ...

Radek
Cookies jsou všeobecny bordel!

Maji problem se spoustou veci..
napr: u myho anketniho IFRAMu jsem tahal vysledky ze serveru ic.cz = cookies kaput.. proste jako by byli vyply

nebo: na domene www.domena.cz (- tajim :-)) jsem uvedl anketu a jela OK
ale na domene sms.domena.cz (pouze jina domena 3radu) jsem bral stejnou anetu nicmene opt s nulovym efektem cookies

z cehoz plyne: cookies jedine na: www.domena.cz a nic "sub"
a jedine ze serveru kde se nachazeji stranky. zadne pretahovani
spis bych to rozcarovani z cookies svedl na neznalost/neschopnost pouzit lepsich diagnostickych nastroju nez je MSIE (nebo jiny browser abych nebyl az tak neprijemny :)

ale samozrejme cookies nejsou vselek a je lepsi je nepouzivas jak je jen mozne
Hmm.. souhlasim.. jen rikam ze cookies nestoji temer za nic... rekneme uz jen kvuli kompat. s prohlizeci...

je mi jedno ktery neumi to ci ono... kazdy si to bere jak chce a kdyz si clovek nevybere tak lze rict: cookies = @!#$

muzete me citovat
Me cookies fungujou a nemuzu si stezovat. Povazuji to za mnohonasobne lepsi bezpecnostni prvek, nez sessions.
Hm, tak je to přesně naopak... Možná někdy pochopíš..
Na to mam jednoduchou odpoved:

http://www.underground.cz/797

povine precist.
> Me cookies fungujou a nemuzu si stezovat. Povazuji to za mnohonasobne
> lepsi bezpecnostni prvek, nez sessions.

nerozumim co jsi timto myslel, muzes to vysvetlit ?
Ten "povinny" claek jsem prave docetl.. je moc dlouhy tak jsem to bral trochu hopem, ale konstatovat můžu toto:

podle mého názoru ti cookies dokaze ukrast mnohem vice lidi nez session.

Stejne tak se da jiste obejit i
Header("WWW-Authenticate: Basic realm=\"bla bla\"");
Header("HTTP/1.0 401 Unauthorized");

a vubec vsechno co je na NETu.

Jestli veris cookies tak jsi trouba a ver si dal.

kdyz mi nekdo ukradne session (naboura se mi do neho) tak to bude jeho zivotni haluz a tim ME UPLNE ZNICI !!!

stejne jako vsichni VELCI HACKERI !
nejaky underground se může jít vycpat...

jestli jsi nejakej ustrasenej amater co se boji aby mu nejaky BOREC hacker na neco neprisel tak se boj dal... casem ti to dojde
Mno ten článek je opravdu pravdivej, teda taky jsem vzal konec trocha hupem, ale asi na tom článku něco bude... Ale což kašlu na nějaký hack sessions stejně si budu programovat v sessions:-))).
> podle mého názoru ti cookies dokaze ukrast mnohem vice lidi nez session.

ufff, co to je ukrast cookie ? odpolechnout/obelstit prohlizec aby ti to poslal aktivne sam ? nebo neco jineho ? byl bych pro zustat u exaktnejsi terminologie - mezi nami Mastery nemusime brat ohledy na zacatecniky ne ? :)

> Stejne tak se da jiste obejit i
> Header("WWW-Authenticate: ...

jak se da obejit http autentizace ? odposlechnout se da, ale to je o necem jinem

> Jestli veris cookies tak jsi trouba a ver si dal.

verit nemuzes nicemu, nejen cookinam :)

> nejaky underground se může jít vycpat...

jako bych to uz nekde videl, JXD ci snad hacker Janda ? ;-)

> Ale což kašlu na nějaký hack sessions stejně si budu programovat v
> sessions:-))).

to neni proti sessions, ale proti "neuvazenemu neopatrnemu pouzivani"
Omg, ja mel jen problem a nehodlal jsem srovnavat sessions a cookies :) Chci rict, ze problem jsem vyresil, nejak mu to tady na webzdarma nebralo abolustni adresy, aby cookies fungovaly, ale jen relativni. Jsem z toho opravdu jelen, mne a ostatnim zaregistrovanym vse fungovalo i s absolutnimi adresami. Ale nu coz...
No nic, ale nevím jak inteligentně vyřešit přihlášení bez sessions!.
Ačkoliv je fakt že u mně je jěště trocha chráněný, protože v sessions je id klíč pomocík trého tě lze identifikovat na page tedy uživ. jméno ani heslo tam jěště není...
Miro, zase na mě zkoušíš to slovíčkaření a to se mi vubec nelibi...
Ale v podstate usuzuji ze se mnou souhlasis :-)

tak ci onak, nebudu resit bezpectnost nejakych session nebo http autentizace, protoze je to podle me z hlediska bezpectnosti reseno dobre a kdyz to nikdo obejde tak at... nebudu vsechno davat 5x do MD5 jenom proto aby........

takovy veci stejne kazda lama zkousi na ty velky portaly (seznam email,...)

a ti zkuseni vedi ze je to mnohem snazsi na mensich portalech a jelikoz jsou zkuseni tak to mozna i dokazou...

noaco
Hm moje slova:-).
Autentifikace se lze delat 3mi zpusoby. Cookies, URL, Prohlizecem. Pouze prohlizecovu autentifikaci nejsi schopen odecist na dalku,bohuzel ma tato autentifikace spoustu nevyhod. URL lze odecist pomoci REFERERU a cookies pomoci javascriptu. Jina moznost neni. Sessions pouzivaji pokud vim URL nebo Cookies. Je uplne jedno jak je udelana identifikace, ale pokud ji do rukou dostane hacker, je schopen ti ukradnou session. Cookies se zjistuji hure, protoze hacker musi dostat na stranu obeti javascript, ktery cookies precte a odesle hackerovi. Pri pouziti URL identifikace staci hackerovi preposlat obeti odkaz, na ktery klikne, popripade u neho zobrazit obrazek, ktery si precte Session ID v REFERERU. A mas vymalovano. Proto tvrdim ze Cookies jsou nejbezpecnejsi. Spolu s kontrolou IP adresy. Kontroluji kombinaci IP adresy a X-FORWARDED-FROM, takze se neda falesna IP podstrcit. Navic jako Session ID mi staci dva udaje: Uzivatelske jmeno a checksum, ktery predstavuje MD5 kod z username+password+IP+X-FORWARDED-FROM. Takovou session lze ukrast velice ztezi.
PS: Par lidi tady nepochopilo, ale ja jsem pochopil ze mluvime o nastroji $SESSION implementovanem v PHP????? Ja mu neverim. Radsi jsem si napsal vlastni.
Heh a jak asi?!