| |
|
|
| | На сайте есть авторизация, что бы... ну поняли.... Как лучше безопаснее сделать что бы пользователя узнавали на каждой странице.
Я делаю через ссесии (если вдруг куки вырублены), а Вы как делаете? Как лучше? | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 14:29)
| | | Я точно так же | |
| |
|
|
| |
|
|
| |
для: bronenos
(29.01.2007 в 14:40)
| | | А я через COOKIE. Ненавижу сессии! Их можно использовать только для админки, или в особо важных случаях. COOKIE могут долгое время храниться. А каждый раз пользователю авторизироваться на сайте неудобно. | |
| |
|
|
| |
|
|
| |
для: golovdinov
(29.01.2007 в 15:33)
| | | Cookie можно подделать
А в сессиях удобно данные хранить | |
| |
|
|
| |
|
|
| |
для: bronenos
(29.01.2007 в 15:42)
| | | Самое главное - куки можно украсть. А сессию, если все грамотно сделано - нет. | |
| |
|
|
| |
|
|
| |
для: Loki
(29.01.2007 в 16:34)
| | | А как по вашему грамотно сделать сессии? | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 17:54)
| | | Ну помогите кто-нить... | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 19:51)
| | | Есть хорошая книга PHP5 на примерах Авторы Кузнецов М. Симдянов И. Голышев С. Игорь Симдянов как я понимаю, здесь cheops может если мы его попросим поместит статью на основе глав этой книги
на этом сайте. По-моему это будет не плохая PR-акция. ;-) | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 19:51)
| | | Есть хорошая книга PHP5 на примерах Авторы Кузнецов М. Симдянов И. Голышев С. Игорь Симдянов как я понимаю, здесь cheops может если мы его попросим поместит статью на основе глав этой книги
на этом сайте. По-моему это будет не плохая PR-акция. ;-) | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(29.01.2007 в 17:54)
| | | Да собственно без разницы что использовать cookie или сессию (так как SID всё-равно через cookie передаётся и его тоже можно украсть), лишь бы не было XSS-уязвимостей, позволяющих осуществлять воровство cookie. Loki хочет сказать, что даже если сессия будет украдена, злоумышленик не получит пароль, так как данные сессии хранятся на сервере и время жизни сессии ограничено. | |
| |
|
|
| |
|
|
| |
для: cheops
(30.01.2007 в 00:51)
| | | А что такое XSS-уязвимость? | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(30.01.2007 в 13:42)
| | | Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
XSS — (англ. Сross Site Sсriрting) — межсайтовый скриптинг, тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путем конструирования специального URL, который атакующий ппредъявляет своей жертве. Иногда для термина используют сокращение CSS, но, чтобы не было путаницы с каскадными таблицами стилей, используют сокращение XSS.
Условно, XSS можно разделить на активные и пассивные. При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которые должен выполнить браузер жертвы (например клик по специально сформированной ссылке). | |
| |
|
|
| |
|
|
| |
для: mindless
(30.01.2007 в 13:47)
| | | а можно конкретнее на примере | |
| |
|
|
| |
|
|
| |
для: kail_braslovski
(30.01.2007 в 17:16)
| | | http://old.antichat.ru/crackchat/HTML/
http://bugtraq.ru/library/www/xssanatomy.html | |
| |
|
|
