|
|
|
| Этот вопрос затрагивался часто, но так как это сайт авторов очень хороших книг.То я хочу проконсультироватся.
Я написал систему защиты основанную на прохождения аутентификации через БД + идет проверка IP и user_agent.К томуже идет проверка в сети ли пользователь(даже если узнать все данные то когда он в сети попасть не удастся). Но я просматривал заголовки и убедился что в каждом заголовке идет ID сессии а это значит, что на пути между пользователем и сервером может засесть хакер который вытащит из заголовка ID и если совпадут браузеры и IP адреса спокойно попадет на сайт. IP может совпасть так как многие сидят серез прокси, хотя у меня идет еще проверка IP в подсети но анонимный прокси не даст такой инфы.
Как выкрутится с такой ситуации?
И еще как можно узнать с помощью ПХП мак номер сетевой карты?
Заранее благодарен. | |
|
|
|
|
|
|
|
для: programmer_2006
(20.11.2006 в 18:21)
| | 1. использовать SSL (https://...)
2. MAC-адрес жив лишь до ближайшего роутера, так что на http-уровне Вы его определить не сможете. Не говоря уже о том, что у многих сетевых средств MAC-адреса просто нет. У тех же модемов, например. | |
|
|
|
|
|
|
|
для: Trianon
(20.11.2006 в 18:29)
| | да насчет SSL я знаю, про мак адрес, тоже, но думал что можно его как то узнать.Ну а как писать приложение для людей которым не нужны SSL пишеш и знаеш про дыру в защите и нечего не можеш с этим поделать.А так больше вроде и не чего не провериш. :-( | |
|
|
|
|
|
|
|
для: programmer_2006
(20.11.2006 в 18:21)
| | Хм не очень понятно, вы хотите осуществлять вход пользователей без ввода пароля? Просто по его данным? | |
|
|
|
|
|
|
|
для: cheops
(20.11.2006 в 23:33)
| | Нет я хочу защитит пользователя от кражи идентификатора сессии либо с его компа либо при передачи заголовков между пользователем и сервером Не используя SSL и сертификаты. | |
|
|
|
|
|
|
|
для: programmer_2006
(21.11.2006 в 11:29)
| | От сетевого анализатора вы его не спасёте, но от кражи cookie можно защититься, если не допускать на сайте XSS-уязвимостей. | |
|
|
|
|
|
|
|
для: cheops
(21.11.2006 в 12:24)
| | да знаю, я думал как то можно защитится от сетевого анализатора путем проверки еще каких то данных от пользователя которые тяжко потделать но кроме IP && user_agent вроде больше и нечего не провериш | |
|
|
|
|
|
|
|
для: programmer_2006
(21.11.2006 в 13:03)
| | и еще может кто напомнит я гдето читал про выполнения системных команд на стороне сервера, что то про `` -такие ковычки и функции их блокирующие. | |
|
|
|
|
|
|
|
для: programmer_2006
(21.11.2006 в 13:10)
| | Следует заблокировать выполнение функций system(), exec(), shell_exec(), passthru(), pcntl_exec() при помощи директивы disable_functions конфигурационного файла php.ini, обратные кавычки будут заблокированы автоматически, они кажется к system() привязаны. | |
|
|
|
|
|
|
|
для: cheops
(22.11.2006 в 00:33)
| | Спосибо :-) | |
|
|
|