Опасность Cookies в HTTP

Печать RSS
770

B
Автор
Пришелец
0
Приветствую вех smile Недавно у меня на сайте произошла утечка информации, а точнее один муфлон крал куки и входил под идентификаторами любого пользователя.Насколько я знаю, куки должны хранить в себе лишь некий условный идентификатор посетителя, причем выдается этот идентификатор на небольшой срок, во избежании утечки информации. Логины и пароли должны храниться в базе в зашифрованном виде.Все, вроде бы, так, НО у меня все таки "стырили" куки, и очевидно, что в них и хранятся логины и пароли юзеров.А случилось это с движком dcms.Да да, знаю что двиг не ахти.Так вот, собственно вопрос - каким образом можно убрать запись логина и пароля в куки?Или может быть по сессии он зашел?Вариантов куча, голова разрывается и, конечно же, мне срочно нужно решить эту проблему.Я не прошу вас писать коды и тому подобное, просто прошу совета по этой проблеме.Заранее благодарю всех.

Веем холодом
0
1. Better, Я обычно еще сравниваю хеш из ип, юа пользователя с солью с записью в БД. Если не совпадает - прошу авторизоваться D
B
Автор
Пришелец
0
2. Zдешний, Остроумно, но не по теме smile
Д

Пришелец
0
3. Better, по идее при регистрации, должны записываться или при входе smile
J

Оранжевые штаны
0
3. Better, уберешь запись логина и пароля в куки, пользователи задолбуться входить на сайт

Голубые штаны
0
Не путайте чувака, а то у него моск взорвется.

1. Better, тебе надо думать не о том, что писать в куки (туда можно писать все что угодно). Тебе надо искать каким образом эти куки воруют у пользователей. Найдешь дырку в скрипте и залатаешь ее, тогда проблема решится сама собой.
С

Землянин
0
задам вопрос не по теме)) а как можно своровать куки ЮЗЕР'ов? идет ведь запись в куки браузера, где данные одного юзера...

Чатланин
0
7. JaRUS, XSS
V

Пришелец
0
Для безопасности куки нужно устанавливать в режиме http only,таким образом хацкер не сможет получить их с JS и отправить на сниффер

Пацак
0
9. VITAMIN, ну, чисто теоретически, атрибут HttpOnly и использование SSL-соединения должны помочь, но не решают главную проблему.
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск