|
| |
|
|
| |
для: Inque
(15.04.2007 в 16:47)
| | | Немного не понятны последние два пункта в Вашей схеме авторизации пользователя. Зачем тогда сессии вообще, если Вы хотите сделать какой-то дополнительный идентификатор, который опять же дает доступ к аккаунту фактически в любое время с момента последней авторизации?
Не заморачивайтесь так c кражей cookies. Вы все-таки пишите форум для мобильных устройств и я сомневаюсь, что там найдется место для XSS. | |
| |
|
|
| |
|
|
| |
для: Inque
(15.04.2007 в 16:47)
| | | Обычно, если такая агрессивная среда, то систему администрирования выводят на отдельную страницу, с отдельным не зависимым от базы данных паролем. Мы, например, поступали именно таким образом - Web-разработчики среда достаточно агрессивная - не тем, что вандалы какие-то, просто знают больше, чем обычные посетители. Поэтому воровать пароли с форума бесполезно - они ничего не значат для управления... Вам можно поступить точно также - сделать отдельную страницу (путь к которой будете знать только вы) - защитить её и управлять форумом от туда. | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2007 в 16:31)
| | | Хех, ну во-первых не надо каждый раз авторизица - это делается много раз чаще, чем смена пароля... Что касается злоумышленников - есть такие. Если они своровав куку у админа зайдут на форум - они смогут не то что писать от него - они смогут удалять... А это куда опасней. А люди такие есть. Они ждут когда я открою форум)) | |
| |
|
|
| |
|
|
| |
для: Inque
(15.04.2007 в 15:36)
| | | Есть ли какая нибудь выгода от авторизации под чужим именем на вашем форуме? Если она не большая, можно не очень сильно замарачиваться на эту тему. Существующей защиты вполне достаточно, а желающих получить доступ к чужому аккаунту без какой-то конкретной цели очень мало... | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2007 в 14:05)
| | | Ну, скажем, сможет, но ему надо будет ввести старый)) | |
| |
|
|
| |
|
|
| |
для: Inque
(15.04.2007 в 13:59)
| | | А злоумышленик не сможет сменить пароль за время доступа к форуму? | |
| |
|
|
| |
|
|
| |
для: cheops
(15.04.2007 в 01:00)
| | | Он получит последнюю куку, ну и что с того? Через некоторое время оригинальный юзер стукнется в форум, его выкинет на авториз, т.к. куки уже не совпали - злоумышленник при авторизе с украденными куки автоматически их перезаписал на рандомногенерируемые. Оригинальный юзер автоматически их перезапишет и злоумышленнику опять придется заново воровать куку. В конце концов ему надоест. Хотя если это куки админа... | |
| |
|
|
| |
|
|
| |
для: Inque
(14.04.2007 в 17:26)
| | | Злоумышленик если может украть cookie, то он может получить и последнюю cookie, а в то время когда законный её владель отсутствует подхватить цепочку... Лучше постараться не создавать XSS-инъекций и использовать cookie в штатном режиме. | |
| |
|
|
| |
|
|
| |
для: Inque
(09.04.2007 в 11:00)
| | | Подниму тему... cheops, хочу услышать мнение профессионала по поводу перезаписи кук. :) | |
| |
|
|
| |
|
|
| |
для: Unkind
(08.04.2007 в 20:35)
| | | Unkind, насчет этого не волнуйся - с телефонами я работаю уже года так 3 и практически все современные телефоны, не говоря уже о смартфонах (хотя форум для них) поддерживают систему MIDP 2.0 и выше, а это значит, что на них пойдет браузер OperaMini, который поддерживает все необходимые функции для полноценного серфинга. Насчет SEClub - зря ты мне его в пример привел, я недавно читал, что его сломали. А насчет sid'а по url можно по-подробней? | |
| |
|
|
|
