Раз уж подняли эту тему, хочется напомнить о том, как улучшить реализацию стандартной функции remember-me.

Оба предложенных ранее варианта не учитывают один важный момент, что, если token будет похищен? При обычной реализации аутентификации через remember me token, атакующий, получив такой токен, получит доступ к сайту на неограниченное время, а жертва даже не узнает о факте хищения…

Что же делать?

Barry Jaspan предложил улучшенный вариант remember-me аутентификации.

Вкратце, добавляется еще один тип токена - series. Генерировать его нужно случайно, можно так же, как и обычный token. Главное отличие его от токена, это то, что он не меняется после успешной аутентификации через токен.

Таблица для хранения:
CREATE TABLE test.one_time_auth(token CHAR (32), series CHAR (32), user_id INT (11) UNSIGNED NOT NULL, expire DATETIME DEFAULT NULL, PRIMARY KEY (series)) ENGINE = INNODB
И класс с примером
setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $auth = new one_time_auth($db); list($token, $series) = $auth->remember(10, null, "2010-12-31"); $user_id = $auth->remind($token, $series); list($token, $series) = $auth->remember(10, $series, "2010-12-31"); $user_id = $auth->remind($token, $series); echo $user_id; list($token, $series) = $auth->remember(10, $series, "2010-12-31"); try { $user_id = $auth->remind("wrongone", $series); } catch (ThiefAssumedException $e) { echo "We think your cookie was stolen. Please, log in again."; } $user_id = $auth->remind("wrongone", "wrongone"); // do nothing class ThiefAssumedException extends Exception {} class one_time_auth { /** * @var PDO */ private $db; public function __construct(PDO $db) { $this->db = $db; } public function remember($user_id, $series = null, $expire = null) { $sql = "INSERT INTO one_time_auth (token, series, user_id, expire) VALUES (:token, :series, :user_id, :expire)"; $stmt = $this->db->prepare($sql); while (true) { try { $stmt->execute(array(":token" => $token = $this->generateToken(), ":series" => $series = $series == null ? $this->generateToken() : $series, "user_id" => $user_id, "expire" => $expire)); break; } catch (PDOException $e) {} } return array($token, $series); } public function remind($token, $series) { $sql = "SELECT user_id, token FROM one_time_auth WHERE series = :series AND (expire IS NULL OR expire >= NOW()) LIMIT 1"; $stmt = $this->db->prepare($sql); $stmt->execute(array("series" => $series)); if ($row = $stmt->fetch()) { if ($row["token"] != $token) { $stmt = $this->db->prepare("DELETE FROM one_time_auth WHERE user_id = :user_id"); $stmt->execute(array("user_id" => $row["user_id"])); throw new ThiefAssumedException(); } $stmt = $this->db->prepare("DELETE FROM one_time_auth WHERE series = :series"); $stmt->execute(array("series" => $series)); return $row["user_id"]; } } private function generateToken() { return md5(uniqid("", true)); } }

Как это работает?

У пользователя в куках сохраняются token и series, скрипт сверяет их с теми, что предоставлены в базе данных. Если они совпадают, то аутентификация успешна. Пользователь получает новый token с предыдущим series. Если token разный, а series один и тот же, то удаляем все remember-me записи для этого аккаунта и сообщаем пользователю о том, что, возможно, его токен был похищен.

Ps: это не готовое решение, а пример.

Firefox includes a Password Manager that can save the passwords you use to log in to websites. This article describes why your passwords might not be saved.

• For a general overview of using the Password Manager to save website passwords, see Password Manager - Remember, delete, change and import saved passwords in Firefox .
• For information on the Master Password feature, which is used to protect your private information, see Use a Master Password to protect stored logins and passwords .

Table of Contents

Password Manager settings

Firefox will remember passwords by default. You may have disabled this feature, or told Firefox to never remember passwords for a particular site.

Now that you"ve configured Firefox to remember passwords, try logging in to the site again.

Private Browsing

Remember Password prompt is not displayed

Some graphics driver versions may have problems to display prompts. To see if this applies to you, follow the steps in Troubleshoot extensions, themes and hardware acceleration issues to solve common Firefox problems .

Websites prohibit password saving

Some websites do not allow for passwords to be saved for security reasons. If you have followed the steps above, but are still not prompted to save a password when logging in to a certain website, that site may have disabled password saving.

//

У веб-браузера Mozilla Firefox есть функция хранения входных данных от различных интернет ресурсов, а также их автоматическое заполнение при следующем посещении этих сайтов. Такая опция очень удобна, особенно для тех, кто часто посещает интернет порталы, требующие входа в учётную запись. В этой статье мы постараемся разобраться, почему поисковая система Фаерфокс не запоминает пароли.

Firefox не сохраняет пароль

Браузер по умолчанию сохраняет имя пользователя и пароль от учетных записей. Если ваш интернет обозреватель этого не делает, возможно, у него отключена данная полезная функция. Чтобы это проверить, вам необходимо сделать следующее:

Запустить браузер и открыть меню настроек (значок в верхнем правом углу, изображающий три полоски, расположенные друг под другом), затем кнопка «Настройки»;

В левой части окна выбираем пункт «Защита». В открывшемся окне видим два подпункта «Общие» и «Логины». В подпункте «Логины» ставим галочку слева от свойства «Запоминать логины для сайтов».

Браузер никогда не сохраняет пароли и функция автозаполнения отсутствует, если вы пользуетесь опцией приватного просмотра. Окна, находящиеся в режиме приватного просмотра отмечены значком в виде маски, находящимся в правой верхней части экрана. Для запоминания паролей необходимо, все окна, отмеченные таким значком закрыть.

Если ваша поисковая система постоянно работает в приватном режиме, то слева от строки поиска будет значок в виде щита.

Для того чтобы выйти из приватного просмотра необходимо выполнить несколько простых действий:

1. Открыть меню браузера Mozilla Firefox и выбрать «Настройки»;

2. В левой части меню настроек выбрать пункт «Приватность», в подпункте «История» открыть Firefox и выбрать свойство «будет запоминать историю», после этого стоит перезагрузить браузер, чтобы настройки активировались.

Если ваш интернет обозреватель сохраняет пароли, но не для всех сайтов, то здесь могут быть два варианта:

1. Веб-сайт занесён в список исключений. Чтобы это проверить необходимо зайти в Меню браузера-Настройки-Защита-подпункт Логины и справа от «Запоминать логины для сайтов» есть кнопочка «Исключения…» (она активна, только если стоит галочка на запоминание логинов). При нажатии на эту кнопку у вас откроется окошко, в котором вы сможете увидеть, для каких веб-сайтов у вас стоит запрет на сохранение паролей.

Если после проделанных вышеперечисленных действий, ваш интернет-браузер не предложил сохранить логин и пароль при входе на определенный интернет ресурс, то, скорее всего на сайте активен запрет для сохранения паролей создателем или модератором сетевого элемента.

Почему не сохраняются пароли в браузере?

При активном использовании интернета, мы привязываемся к нашим браузерам, так как храним в них всю необходимую информацию.


Помимо вкладок и форм автозаполнения, многие сохраняют пароли, так как это удобно при использовании разных сайтов. Но что делать, если браузер не сохраняет пароли?

Почему не сохраняются пароли в браузере? Скорее всего, у вас просто отключена эта функция в настройках. На некоторых сайтах установлены скрипты, чтобы пароли и логины не сохранялись, но встречаются такие ресурсы крайне редко.

Если и у вас не сохраняются пароли в браузере, воспользуйтесь нашими инструкциями.

Как сделать, чтобы пароли сохранялись в браузере?

1. Google Chrome.
После входа в настройки браузера откройте дополнительные параметры и найдите пункт «Пароли и формы». Здесь вам нужно поставить галочку напротив предложения сохранения паролей:

2. Mozilla FireFox.
В настройках Мозилы тоже есть функция хранения данных для авторизации, которую можно включать и отключать. Управлять ей можно через настройки, на вкладке «Защита»:

3. Opera.
Настроить сохранение паролей в Опере также просто. Для этого отправляйтесь в настройки программы, потом нажимайте «Безопасность» и ставьте галочку напротив специального пункта:

4. Intenet Explorer.
Чтобы применить сохранение паролей в этом браузере, вам необходимо зайти не в настройки, а в свойства обозревателя. Выбирайте вкладку содержимое, переходите к настройкам м ставьте галочку:

В каждой браузерной платформе можно включать и отключать сохранение данных для авторизации.

Если вы пользуетесь обозревателем, которого нет в нашем списке, то лучше удалите его и поставьте Google Chrome, после многочисленных тестов было доказано, что этот браузер является самым безопасным и обладает всеми необходимыми функциями.

Интернет ресурс "Gularis"ставит своей целью,
создание интернет площадки для любителей птиц.

Изначально сайт не является полностью заполненным справочником. Материалы на сайте дополняются исключительно благодаря активности пользователей. При размещении любого вида информации пользователь заполняет специальную форму, определяя, тем самым, точные характеристики выкладываемого. Таким образом, упрощается поиск, можно выполнять точную выборку, проводить динамический анализ всего содержимого сайта "Gularis ". Администрация специально идет на подобную практику, для исключения информационного хаоса.

Сайт, изначально имеет ряд направлений и технологий.

Основные из них:

• Классификатор - динамически пополняемый справочник (аналог Wiki)
• Группы - организованные самими пользователями сообщества, в которые входят пользователи, а наполняются группы материалами заявленной тематики.
• Блог - индивидуальная и коллективная работа с документами. Все виды создания групп по итересам.
• Торговая площадка - размещение объявлений о покупке, продаже, обмене птиц и сопутствующих зоо-товаров.
• Форум - предполагается обсуждать вопросы связанные с технологиями сайта.
• Личный кабинет - структуированная информация, размещаемая пользователем, личные, контактные данные.
• Взаимоотношения пользователей - указав своих коллег и друзей пользователь определяет степень доверия (не все сразу все видят...).
• Рейтинги и оценки - предоставляются различные формы голосования, для приорететного размещения, в дальнейшем, более рейтинговой информации.