Samo vas gledam i razmišljam da li da vam predočim svoje poglede i tehnike vezane uz temu, ali uzimajući u obzir vaše iskustvo, obrazovanje i inteligenciju, prilično sam siguran da vi to ne bi mogli razumjeti
-------
alzo...
kad smo vec kod hakovanja... da ne otvaram novi topic. kako rjesavate login sistem? mislim cisto nacelno kao ideju? ono sta sam ja do sad koristio je otprilike:
- korisnik unosi usr/pass (filter podataka)
- kreira se session sa custom IDjem
- taj ID se sprema u cookie
- pri ponovnom dolasku, provjerava se
a) ima li covjek cookie? (ako nema -> login.php)
b) ako ima, pokreni session ciji ID je zapisan u cookie
c) ako ima i cookie i postoji taj sessID -> dozvoli pristup, else -> login.php
i cookie lifetime stavim na 15 minuta.
po literaturi o sigurnosti nailazio sam i na prijedloge da se pri svakom requestu provjerava User-Agent jer je malo vjerojatno da ga covjek mijenja pri aktivnosti na stranici, a ako ga je vec promijenio, nece zamjerit ponovni login. tako da mi se to cini ko dobra usputna provjera (nisam koristio).
sta se jos koristi i kako?