Как обезопасить куки аутентификации без SSL
Я нахожусь в процессе создания системы входа в систему, которая использует обе сессии (для тех, кто запрещает использование файлов cookie), чтобы согласиться сзакон о печеньках.. я пользуюсь сайтомhttp://www.cookielaw.org/the-cookie-law.aspx в качестве ссылки)
Теперь у меня есть эта система для проверки подлинности файлов cookie
function GenerateString(){
$length = mt_rand(0,25);
$characters = '0123456789abcdefghijklmnopqrstuvwxyz';
$string = '';
for ($p = 0; $p < $length; $p++) {
$string .= $characters[mt_rand(5, strlen($characters) -1)];
}
return $string;
}
$RandomString = GenerateString();
$CookieAuth = $DB->prepare("INSERT INTO cookieauth (Username,RandomString) VALUES (?,?)");
$CookieAuth->bind_param('ss',$_POST['Username'],$RandomString);
$CookieAuth->execute(); // Insert the Authentication Methods into the database
$CookieAuth->close(); // Allow another query/statement
$GetInsertID = $DB->prepare("SELECT ID FROM CookieAuth WHERE RandomString=?");
$GetInsertID->bind_param('s',$Randomstring);
$GetInsertID->execute();
$GetInsertID->bind_result($RowID);
$GetInsertID->fetch();
$GetInsertID->close();
setcookie("Auth[ID]",$RowID);
setcookie("Auth[UName],$_POST['Username']);
setcookie("Auth[RandomString]",$RandomString);
Затем для обработки куки:
if(isset($_COOKIE['Auth'])){
$Authenticate = $DB->prepare("SELECT Username,RandomString FROM cookieauth WHERE ID=?");
$Authenticate->bind_param('i',$_COOKIE['Auth']['ID']);
$Authenticate->execute();
$Authenticate->bind_result($RowUsername,$RowString);
$Authenticate->fetch();
$Authenticate->close();
if ($_Cookie['Auth']['UName'] == $RowUsername){
if ($_COOKIE['Auth']['RandomString'] == $RowString){
header("Location: LoggedIn.php");
}else{
die("Possible Cookie Manipulation, Autologin Cannot Continue");
}
}else{
die("Possible Cookie Manupulation, Autologin Cannot Continue!");
}
Моя общая задача - предоставить функцию автоматического входа с помощью файлов cookie. Как люди должны знать, они, по сути, хранятся на жестком диске в виде простого текста. Так что, если я включаю случайно сгенерированную строку, которая будет меняться при дальнейшей обработке каждый раз (затем обновлять cookie, чтобы соответствовать базе данных), это достаточно безопасный способ для достижения цели? Я имею в виду, я понимаю, что это не на 100% безопасно, потому что некоторые пользователи могут пытаться манипулировать случайной строкой, поэтому я мог бы прибегнуть к случайному ключу, а затем использоватьhash_hmac
Sha512 соль + ключ и сохранить его как печенье ...
Мой общий вопрос: являются ли блоки, которые я предоставил, полузащищенным методом для обработки автоматического входа через cookie-файлы и могут ли минимизировать вероятность того, что некоторые плохие парни будут манипулировать ключами для получения необходимых данных?