PHP ciasteczko jak lepiej?

[CoderX]

Cześć, robię system logowania, lecz jak doszedłem do logowanie a dokładniej do momenty gdy chce ustawić ciasteczko, to przyszła mi taka pewna myśl, że jak ustawię już ciasteczko czyli np setcookie('loggedin', $username , $seconds); to czy potem np w google chrome ktoś wartości tego ciasteczka nie zmieni na inny nick i będzie używać jego profilu?

tzn tak -> loguje się -> ciasteczko ustawia się -> jej wartość = $nickname -> i ktoś kto w google chrome (albo firefox) zmieni zawartośc tego ciasteczka na np inny nick, to i potem (taki mam zamiar) będzie miał dostęp do informacji, ustawien itd... do tego użytkownika co zmienił nickanme? bo mam zamiar potem (na tej stronie) używać tzn, wyciągać resztę dane np w profilu jezeli $nickanme == sie ten z coockie cookie to można zmienic np hasło do tego konta chyba wiecie o co mi chodzi .

 

Ale wtedy pomyślałem, że gdy przy logowaniu zamiast nick to lepiej jest ustawić id LUB nickname zakryptowany np w MD5 i potem tak wyciągać dane..

Macie jakieś pomysły jak się przed tym zabezpieczyć? czy się wgl kur*a mylę i zmarnowałem ok 10 minut życia pisząc ten temat :c .

 

 

Wiem, żem torchem naje*ał pisząc to

ZA pomoc będę B. wdzięczny

[Matzar]

A o httpOnly słyszał?

[3nichilat0]

@Altiruss

Zrób sobie do tego jakiegoś hasha przy logowaniu. Dodawaj go do cookie i do rekordu usera w db. I jak ktoś podmieni sh to od razu ban na ip.

[CoderX]

@Matzar

Ni słysział :/ można się bardziej rozwinąć? ;p

 

@3nichilat0

Chodzi ci o zakryptowanie nicku/id i tak samo za kryptować je w bazach i nick do coockie też jako zakryptowany? 

[3nichilat0]

w skrypcie logowania dajesz np:

hash('sha512', $login_usera.time());

i dodajesz to przy każdym logowaniu do cookie a w db zamieniasz na nowy hash.

 

sha512 jest odporny na kolizje więc to że ktoś podmieni na dobre jest zerowe. A takiego czegoś to już tym bardziej:

$login_usera.time().'#'

login + aktualny czas + #

 

albo zamień na sha256 krótszy ciąg i szybciej wykonuje.

 

hash mojego loginu z mpc ww skryptem :

sha512 : aec1fe2404197828e2fefca94eb99e4a8ca5f62fac464d976a512171fdd57c268ba4ee49a6c3416ab43af9a395b43f4e9699d75fb005e8f36b2fa8c6670e1f4b

sha256 : 749bccd35788de06bfd53f01c823fa75ce9b29c3415305a274a76978575a410d

 

czas wykonania :

sha512 : 39815.96[ms]

sha256 : 15220.08[ms]

[Matzar]

Skoro nie wiesz to polecam: http://sekurak.pl/flaga-cookie-httponly/

Angielska dokumentacja: https://www.owasp.org/index.php/HttpOnly

 

Nie muszę nic tłumaczyć. Powyższe dwa linki rozwieją wątpliwości.