|
| |
|
|
| |
для: cheops
(03.09.2007 в 14:30)
| | | >Сессии обычно существуют небольшое время и в перспективе - это не опасно. Однако, если у вас SID передаётся через GET-параметры, а не через cookie без лишней надобности лучше такие ссылки не размещать - действительно, злоумышленик может получить доступ к защищённой части сайта.
То есть, я правильно вас понял?
Если перекрыть фильтрацией входных данных пути XSS уязвимости, то coocies в безопасности?
А SID , если его прямо не публиковать, так и вообще - всё равно, что в сейфе лежит? : ) | |
| |
|
|
| |
|
|
| |
для: kotProgger
(04.09.2007 в 14:07)
| | | >Все машини класса входят в интернет через шлюз, т.е. машин в классе десяток, а IP сайт ловит один
Если мы обсуждаем уже поднятую тему, то в данном конкретном случае никаких особых проблем не возникнет. Поскольку сессионный IP в том числе и при обращении изнутри школы не изменится (он как был, так и останется адресом прокси-сервера шлюза) то открытый сеанс пользователя будет работать.
Если же Вы собираетесь привязывать к IP что-то другое - тогда не стоит.
Впрочем, в этом случае лучше открыть новую тему. Предварительно почитав, например, здесь. | |
| |
|
|
| |
|
|
| |
для: bronenos
(04.09.2007 в 12:28)
| | | >получение настроек браузера и версий его компонентов или модулей
И что там можно выкопать? Все, что немногое можно узнать, это относящееся к браузеру - так это, для конкретного браузера, может быть стандартно для очень многих пользователей. Другое дело, если бы можно было узнать с помощью JS о пользователе. | |
| |
|
|
| |
|
|
| |
для: Sobachka
(03.09.2007 в 17:01)
| | | Здравствуйте.
Вот вы говорите "привязка к IP", а в от такая ситуация - в школе компьютерный класс на каждой машине стоит Windows и браузер IE. Сайт находится на стороне. Все машини класса входят в интернет через шлюз, т.е. машин в классе десяток, а IP сайт ловит один. Что должен фильтровать сайт? Я предлагаю вариант с использованием проверки адреса, откуда пришел пользователь если со своего сайта - проверяем, с чужого - блокируем (т.е. исли он пришел с чужого сайта с моими переменными например uid).
Как хакер может узнать uid пользователя.
1. Похитить сессии специальным трояном. Но эта не наша проблемма. Ей должны заниматься админы.
2. Вписать в базу JS скрипт, который будет показывать куки. Здесь уже наша задача стереть ненужные теги. | |
| |
|
|
| |
|
|
| |
для: Trianon
(04.09.2007 в 12:18)
| | | js, получение настроек браузера и версий его компонентов или модулей
надо будет мне покопаться в этом направлении | |
| |
|
|
| |
|
|
| |
для: bronenos
(04.09.2007 в 08:57)
| | | Основанный на чем? | |
| |
|
|
| |
|
|
| |
для: Trianon
(04.09.2007 в 00:44)
| | | ...или новый нераспространенный способ основанныя на яве | |
| |
|
|
| |
|
|
| |
для: victoor
(03.09.2007 в 19:03)
| | | имеется в виду, вероятно, к строке USER_AGENT. | |
| |
|
|
| |
|
|
| |
для: Sobachka
(03.09.2007 в 17:01)
| | | а как к софту привязать? если не секрет... | |
| |
|
|
| |
|
|
| |
для: cheops
(03.09.2007 в 14:30)
| | | привязка сессии к ип, софту... | |
| |
|
|
|
