記住我的最佳做法功能

Question

我在cookie中使用2個變量（7天過期），這是用戶ID和散列。哈希是用戶代理和用戶標識的sha1編碼。在這種情況下，一些黑客可以登錄誰是知道被盜的cookie的瀏覽器。我應該遵循哪種方式或哪種做法最適合記住我的安全問題？

Answer 1

雖然你可以散列爲user_id和SECRET_KEY，誰攔截這個cookie可以登錄到您的應用程序。除此之外，你可以做到這一點，以便你記得我的餅乾很快就會過時。沒有人喜歡陳舊的餅乾。

您可以將每個用戶上次訪問的時間戳存儲在數據庫和cookie中。每次您閱讀cookie以將用戶登錄時，都會檢查兩個時間戳是否匹配。如果他們不這樣做，否認用戶。如果他們這樣做，更新時間戳。

使用此方法，只要您的用戶返回您的網站，所有舊的Cookie就會過時。一個已經攔截cookie的黑客現在有一個毫無價值的陳舊cookie，因爲他不知道當前cookie中的確切時間戳。當然，黑客可以利用一個新的cookie，他希望直到用戶再次登錄之多。

//check for cookie 
if(isset($_COOKIE['remember_me'])) { 
    // get hash and time stamp from cookie 
    $hash = substr($_COOKIE['remember_me'],0,40); 
    $last_visit = substr($_COOKIE['remember_me'],41); 

    // query your db with $hash and $last_visit 

    // if hash and time stamp match up 
     // log in 

     // store the current time stamp in a variable to use for both 
     $time = date("Y-m-d H:i:s"); 
     // update the time stamp in your cookie 
     $cookie = $pass . "-" . $time; 
     setcookie('remember_me', $cookie, time()+60*60*24*100, '/'); 
     // update the time_stamp in your database 
    else { 
     // remove the remember me cookie 
     setcookie('remember_me', '', time()-42000, '/') 
    } 

這種方法提供了安全少量，並且當然應該沿着在其他的答案提出端的方法使用。散列鍵應該存儲在cookie中。記住我的cookie不能完全安全，所以需要重新輸入密碼才能對高度敏感的數據或應用程序功能進行任何其他訪問。

我還建議給你的cookie命名除了'remember_me'之外的東西，使它更難找到。雖然它不會增加很多安全性，但是如果有的話，命名您的cookie'ht33424'只要命名爲'remember_me'或'hack_me'即可。

Answer 2

就我個人而言，我創建一個隨機散列並將其存儲在「記住我」表中。該表還具有用戶代理，用戶標識和IP地址。每次我通過記憶功能重新登錄用戶時，都會檢查兩者。如果用戶手動註銷，我只需從表中刪除該行。然後，如果他們再次登錄，它會創建一個新的隨機哈希。實際上沒有辦法與記住我的系統來嗅探數據包（除非您使用HTTPS only標誌設置的安全cookie）。因此，請使用與HTTPS專用Cookie的安全連接。如果你不能，那麼至少使隨機散列，所以如果它被發現，你至少可以生成一個新的哈希來殺死該登錄...

Answer 3

您最終可以使用會話來存儲用戶狀態。但是，持續會話很長時間會導致同樣的問題，會話ID將被盜用。您可以將cookie信息與其他瀏覽器或IP地址一起加入，但當用戶沒有靜態IP時會導致問題。

無論如何，持有會話ID更安全，只需將用戶的sha1密碼輸入到cookie即可。

Answer 4

HMAC

我通常做這種方式，所以我沒什麼可存儲上的數據庫或類似的服務器端。

你必須生成隨機字符串，成爲你的「祕密密鑰」，你必須在服務器端存儲（可能在一個配置php腳本作爲常量），你永遠不會告訴任何人。我會叫這個密鑰SECRET_KEY。

那麼你的cookie必須設置兩個值：

• USER_ID：中USER_ID和SECRET_KEY一個安全的加密哈希：這將讓自動登錄
• HASH用戶的用戶ID。所以，例如，md5(USER_ID . "-" . SECRET_KEY)。 （與md5不同的東西，比如sha1或sha256是首選）。

因此，您的最終cookie可能是：USER_ID:HASH。

然後，當你要檢查一個cookie是一個真正的記得我的cookie，你必須這樣做：

function isCookieGenuine($cookie_value) { 
    list($value, $hash) = explode(':', $cookie_value, 2); 

    if (md5($value . "-" . SECRET_KEY) == $hash) 
    return true; 
    else 
    return false; 
} 

的一點是，只有你可以生成通過此檢查，因爲一個哈希hash不僅需要USER_ID，還需要SECRET_KEY，這是服務器以外的人所不知道的！ :)

正如評論指出的，你可以通過使用hash_hmac功能在PHP> = 5.1.2做到這一點：http://us.php.net/manual/en/function.hash-hmac.php

Answer 5

你可以簡單地設置到期日期，再加上一年的cookie，但是在所有敏感區域都有一個輸入密碼字段，就像amazon使用的實現一樣。被劫持的cookie將授予訪問權限，但購買或修改任何個人要求重新輸入的密碼。

「記住我」表的問題在於，如果黑客可以訪問此表，他可以創建並登錄儘可能多的帳戶。你可以爭辯說它加強了記住我的功能的安全性，但它需要權衡軟化膝蓋安全區域的風險。