SecureLogin

Kallisto · 5 Feb 2008

===== [ SecureLogin v1.0 ] =====

Класс, который защитит ваших пользователей от кражи пароля от вашего сайта.

На текущее время в интернете куча троянов и вирусов, которые крадут личные данные пользователя.
Одним из способов является перехват форм, которую пользователь отправляет на сервер.

Например когда ваш посетитель вводит логин и пароль на ваш сайт, то троянская программа
может перехватить данные и передать 3ьему лицу.

Ничего плохого, если сайт не сильно серьезен. Но когда на сайте есть личная информация
или сайт проводит некие финансовые операции, то репутация сайта может пошатнутся.

Данный класс создает md5 хеш пароля, который строится на основании cookie+login+pass
Куки пользователь получает как только заходит на страницу логина.

Алгоритм работы:
1. Человек заходит на ваш сайт. Класс выдает уникальные cookie длиной 100 символов (по умолчанию)
2. Человек вводит логин и пароль, жмет OK!
3. В этот момент создается хеш состоящий из $pass = MD5($cookie.$login.$pass);
4. На сервер уходит 2 переменные: $login и $pass
5. Благодаря тому, что куки создаются каждые 30 минут новые, получается что хеши постоянно разные
6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.

Этого недостаточно для авторизации! Таким образом злоумышленнник несможет зайти на сайт!

В Архиве есть файл how_to_use.txt который поможет в настройке.
Также в архиве есть демо, которое показывает работу класса.

Скачать: http://rapidshare.com/files/89197964/SecureLogin.rar.html

Kaimi · 5 Feb 2008

1. Человек заходит на ваш сайт. Класс выдает уникальные cookie длиной 100 символов (по умолчанию)
2. Человек вводит логин и пароль, жмет OK!
3. В этот момент создается хеш состоящий из $pass = MD5($cookie.$login.$pass);
4. На сервер уходит 2 переменные: $login и $pass
5. Благодаря тому, что куки создаются каждые 30 минут новые, получается что хеши постоянно разные
6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.
Click to expand...

Эм, если юзер вводит пароль, то почему ты считаешь, что формграббер перехватит хэш?

Kallisto · 5 Feb 2008

Перехват формы идет когда браузер уже посылает данные.
А хешируется еще до того как послал браузер.

Получается при снифе трафика виден хеш.

+toxa+ · 5 Feb 2008

Имхо слишком узкая направленность класса, отсюда некоторая бесполезность появляется.

Kaimi · 5 Feb 2008

Перехват формы идет когда браузер уже посылает данные.
А хешируется еще до того как послал браузер.

Получается при снифе трафика виден хеш.
Click to expand...

Мне казалось тот же лимбо записывает нажатия, ибо лог выглядит так
[http://www.yahoo.com/]
p=KEYLOGGED:yahoo.com KEYSREAD:
[https://login.yahoo.com/config/mail?.intl=us]
login=KEYLOGGED:simonoasa KEYSREAD:simonoasa

gibson · 5 Feb 2008

имхо бред вот в этом

6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.
Click to expand...

Kallisto · 5 Feb 2008

От кейлога не спасет...

но сниф трафа ничего давать не будет.

Класс больше расчитать на людей, которые делают сервисы/сайты с авторизацией.. то есть накрутка его на форумы, формы логинов и т.д.

GreenBear · 5 Feb 2008

var $cookie_length = 100; // длина "мусора"
Click to expand...

for($i=0;$i<100;$i++)
Click to expand...

=)

Kallisto · 5 Feb 2008

SecureLogin

Kallisto Member

Kaimi Well-Known Member

Kallisto Member

+toxa+ Smack! SMACK!!!

Kaimi Well-Known Member

gibson Elder - Старейшина

Kallisto Member

GreenBear наркоман с медалью

Kallisto Member

Useful Searches

SecureLogin

Kallisto Member

Kaimi Well-Known Member

Kallisto Member

+toxa+ Smack! SMACK!!!

Kaimi Well-Known Member

gibson Elder - Старейшина

Kallisto Member

GreenBear наркоман с медалью

Kallisto Member