Сделать, чтобы не слетала авторизация в ЛК после закрытия браузера

[Sergeyy84]

Ocstore 2.3

Необходимо сделать, чтобы после закрытия браузера не слетала авторизация в личном кабинете покупателя.

Кто сможет реализовать на платной основе?

[ArtemPitov]

nikifalex, на шарде не всегда пройдет, он там раз N часов принудительно чистит папку с сессиями 

[Sergeyy84]

nikifalex, ArtemPitov, сайт на на vps, хостер adminvps.ru

Программист пробовал разные способы, но не получается. Сказал, что дело не в хостере, т.к. на локалке тоже пробовал и не помогало.

[ArtemPitov]

Делается это все вот так 

 

1) В systemсоздаем папку sessions

 

2) system/library/session.php

после ini_set('session.cookie_httponly', 'On');

добавляем 

            ini_set('session.cookie_lifetime', 15552000);
            ini_set('session.cookie_gc_maxlifetime', 15552000);

15552000 - тут пол года, ставите свое значение 60 сек * 60 мин * 24часа - получаем день и так дальше 

 

дальше перед 

session_start();

добавляем 

 

session_save_path(DIR_SYSTEM . 'session');

и 

session_set_cookie_params(15552000, '/');

Так же 15552000 на свое 

 

[ArtemPitov]

nikifalex, так шардер вроде не дает выбора что ставить, что дали на том и крутимся 

[Sergeyy84]

Писали сисадминам. Они ничем не смогли помочь.

[chukcha]

Потмоу что авторизация действует на сессию браузера

 

После закрытия браузера - сессия будет закрыта автоматически
поэтому нужна кука однозначно гарантирующая "запомнить меня" (remember me)

Но не спешите покупать
Возможно, что ни один разработчик не заморочился безопасностью (судя по бесплатным)

 

[Sergeyy84]

chukcha, т.е. вы хотите сказать, то что посоветовал ArtemPitov, не сработает?

у вас есть какая-то своя наработка (модуль)?

 

[chukcha]

30 минут назад, Sergeyy84 сказал:

то что посоветовал ArtemPitov, не сработает?

Нет не сработает

 

Повторю

Эти установки живы для сессии браузера

Браузер закрыли  - сессия умерла

Наработок нет, но то как сделано это в бесплатных модулях - это дыра в безопасности, достаточно перехватить (украсть) куки и... все

[Sergeyy84]

2 часа назад, chukcha сказал:

Наработок нет, но то как сделано это в бесплатных модулях - это дыра в безопасности, достаточно перехватить (украсть) куки и... все

тут имеется ввиду взлом личного кабинета пользователя или всего магазина?

Змінено 13 червня 2017 користувачем Sergeyy84

[chukcha]

3 часа назад, Sergeyy84 сказал:

тут имеется ввиду взлом личного кабинета пользовател

В основном это

всего магазина - это вторично.

[chukcha]

вот пример, как ломается бесплатный remember me

 

				$activity_data = array(
					'customer_id' => $this->customer->getId(),
					'name'        => $this->customer->getFirstName() . ' ' . $this->customer->getLastName()
				);

Эти данные получаем из контроллера

 

Устанваливаем куку

setcookie("customer_id_cookie", $activity_data['customer_id'], time() + (10 * 365 * 24 * 60 * 60), "/");

Заметьте - это id пользователя

 

затем

if(isset($_COOKIE["customer_id_cookie"]) && $_COOKIE["customer_id_cookie"]!=''){
	$_SESSION['default']['customer_id']=$_COOKIE["customer_id_cookie"];

ВСЕ! приплыли..
Как сломать?

регистрируемся, получаем в куке свой id

 

теперь начинаем уменьшать id в куке

 

Все юзер залогинен.потому что

if (isset($this->session->data['customer_id'])) {

Т.е. даже красть кук не надо.

[ArtemPitov]

Прикольно, нужно будет свой велосипед на досуге придумать  

[chukcha]

зачем думать?

Есть масса рекомендаций, например

http://jaspan.com/improved_persistent_login_cookie_best_practice

 

Но реально, если делать правильно, то это хорошая фишка получится..
 

[chukcha]

Ну вот, то что я и говорил - зачем думать,

В 13.06.2017 в 12:46, chukcha сказал:

Возможно, что ни один разработчик не заморочился безопасностью (судя по бесплатным)

 

Платный модуль

https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=27493&filter_search=remember me

 

зарегился

залогинился

получил куку

изменил

Закрыл браузер

открыл сайт

Опс.. я залогинен под чужим логином.

 

И это без особого желания что-либо ломать. Только ради проверки.

 

[ArtemPitov]

прикольно, потом получил доступ к бд и верти сайтом как угодно, .а если есть фтп то вообще весело 

[Sergeyy84]

1 час назад, chukcha сказал:

И это без особого желания что-либо ломать. Только ради проверки.

Как быть? Ждать от вас модуль с шифрованием кук?

[Shureg]

10 минут назад, ArtemPitov сказал:

прикольно, потом получил доступ к бд и верти сайтом как угодно, .а если есть фтп то вообще весело 

И каким образом вы доступ к БД получите из аккаунта покупателя?

[Shureg]

1 минуту назад, Sergeyy84 сказал:

Как быть? Ждать от вас модуль с шифрованием кук?

Так не использовать это расширение, да и все.

[Sergeyy84]

1 минуту назад, Shureg сказал:

Так не использовать это расширение, да и все.

Что посоветуете тогда?

[ArtemPitov]

@Shureg Вы не поняли суть, при таком подходе мы переберем ID пока не зайдем в админку, а там уже проще пареной репы  

[Shureg]

5 минут назад, ArtemPitov сказал:

@Shureg Вы не поняли суть, при таком подходе мы переберем ID пока не зайдем в админку, а там уже проще пареной репы  

Каким образом вы в нее зайдете, перебирая аккаунты ПОКУПАТЕЛЕЙ ?

[ArtemPitov]

31 минуту назад, Shureg сказал:

Каким образом вы в нее зайдете, перебирая аккаунты ПОКУПАТЕЛЕЙ ?

Да, все верно, я немного не в ту сторону курю 

[chukcha]

1 час назад, Sergeyy84 сказал:

Как быть? Ждать от вас модуль с шифрованием кук?

Собирайте желающих..

[chukcha]

Мне интересно какой рынок этого мода.

1. Уже написан и тестируется.

2. Много ли желающих и.. читающих такую тему.

Отметились бы  в теме.