С
Тогда вопрос по сесси. Кто то говорил, что можно обнаружить утечку хеша. Как это происходит? То есть у меня сперли хеш. Как мне понять что это произошло, и как его сбросить
Точнее, понятно если что то активное происходит, а если просто шпионят
Size: a a a
2019 November 13
С
Тогда вопрос по сесси. Кто то говорил, что можно обнаружить утечку хеша. Как это происходит? То есть у меня сперли хеш. Как мне понять что это произошло, и как его сбросить
Сделать так что бы при смене пароля ватоматом рвались все сессии?
Б
Точнее, понятно если что то активное происходит, а если просто шпионят
уже давно все придумали, тот же контакт и фейсбук
С
уже давно все придумали, тот же контакт и фейсбук
?
Б
там есть страничка с активными сессиями, где видно какой девайс и айпи
Б
тоесть сам пользователь должен смотреть за сесией
Б
можно вообще сделать как в инетбанкингах, если новый девайс и новый айпи, тогда нужно или залогинится или на почте подтвердить
Б
но если, это не инет банкинг где операции без 3д-секюр тогда можно и заморочиться, а так ... наверное безопаснее сделать для операций важных двухфакторку
С
там есть страничка с активными сессиями, где видно какой девайс и айпи
не ну понятно что так можно. Просто вопрос с реализацией
Мне было бы проще внедрить jwt и не делать такую страничку
Меня интересует другой момент
В случае jwt утечка станет явной сразу же. Ведь пользователя выкинет если злоумышленник попробует рефрешнуть токен. Если не рефрешнет, то просто через несколько минут потеряет доступ. А при авторизации украденная пара будет не валидна.
В случае сесси, пользователь узнает об утечке только если есть такая страничка. Или если увидет как что то происходит
Мне было бы проще внедрить jwt и не делать такую страничку
Меня интересует другой момент
В случае jwt утечка станет явной сразу же. Ведь пользователя выкинет если злоумышленник попробует рефрешнуть токен. Если не рефрешнет, то просто через несколько минут потеряет доступ. А при авторизации украденная пара будет не валидна.
В случае сесси, пользователь узнает об утечке только если есть такая страничка. Или если увидет как что то происходит
Б
не ну понятно что так можно. Просто вопрос с реализацией
Мне было бы проще внедрить jwt и не делать такую страничку
Меня интересует другой момент
В случае jwt утечка станет явной сразу же. Ведь пользователя выкинет если злоумышленник попробует рефрешнуть токен. Если не рефрешнет, то просто через несколько минут потеряет доступ. А при авторизации украденная пара будет не валидна.
В случае сесси, пользователь узнает об утечке только если есть такая страничка. Или если увидет как что то происходит
Мне было бы проще внедрить jwt и не делать такую страничку
Меня интересует другой момент
В случае jwt утечка станет явной сразу же. Ведь пользователя выкинет если злоумышленник попробует рефрешнуть токен. Если не рефрешнет, то просто через несколько минут потеряет доступ. А при авторизации украденная пара будет не валидна.
В случае сесси, пользователь узнает об утечке только если есть такая страничка. Или если увидет как что то происходит
ну если аксес токен живет более пары минут?
Б
а если пользователь к примеру сейчас на ресурсе не сидит, злоумышленник будет себе рефрешить
С
ну если аксес токен живет более пары минут?
Вот меня и интересует
Что безопаснее. Либо фиксированное самоуничтожение к примеру через 15 минут или расчитывать на то что в случае сессии пользователь узнает об утечке раньше
Что безопаснее. Либо фиксированное самоуничтожение к примеру через 15 минут или расчитывать на то что в случае сессии пользователь узнает об утечке раньше
W
Здравствуйте
С
а если пользователь к примеру сейчас на ресурсе не сидит, злоумышленник будет себе рефрешить
Агаааа, вот этого я не учел
Б
я бы сделал рассылку пользователю, если зайшли с нового девайса
W
Есть кто с опытом реализации JWT авторизации?
Б
почта или смс
BY
Есть кто с опытом реализации JWT авторизации?
+
PS
не ну понятно что так можно. Просто вопрос с реализацией
Мне было бы проще внедрить jwt и не делать такую страничку
Меня интересует другой момент
В случае jwt утечка станет явной сразу же. Ведь пользователя выкинет если злоумышленник попробует рефрешнуть токен. Если не рефрешнет, то просто через несколько минут потеряет доступ. А при авторизации украденная пара будет не валидна.
В случае сесси, пользователь узнает об утечке только если есть такая страничка. Или если увидет как что то происходит
Мне было бы проще внедрить jwt и не делать такую страничку
Меня интересует другой момент
В случае jwt утечка станет явной сразу же. Ведь пользователя выкинет если злоумышленник попробует рефрешнуть токен. Если не рефрешнет, то просто через несколько минут потеряет доступ. А при авторизации украденная пара будет не валидна.
В случае сесси, пользователь узнает об утечке только если есть такая страничка. Или если увидет как что то происходит
с jwt нельзя будет открыть один и тот же сайт в друг браузерах?
С
Есть кто с опытом реализации JWT авторизации?
Ахаха, как раз об этом говорим