Опасность Cookies в HTTP

Печать / RSS
0
1. Better 31.08.2014 / 16:42
Пришелец
Приветствую вех ).gif Недавно у меня на сайте произошла утечка информации, а точнее один муфлон крал куки и входил под идентификаторами любого пользователя.Насколько я знаю, куки должны хранить в себе лишь некий условный идентификатор посетителя, причем выдается этот идентификатор на небольшой срок, во избежании утечки информации. Логины и пароли должны храниться в базе в зашифрованном виде.Все, вроде бы, так, НО у меня все таки "стырили" куки, и очевидно, что в них и хранятся логины и пароли юзеров.А случилось это с движком dcms.Да да, знаю что двиг не ахти.Так вот, собственно вопрос - каким образом можно убрать запись логина и пароля в куки?Или может быть по сессии он зашел?Вариантов куча, голова разрывается и, конечно же, мне срочно нужно решить эту проблему.Я не прошу вас писать коды и тому подобное, просто прошу совета по этой проблеме.Заранее благодарю всех.
0
2. Zдешний 31.08.2014 / 17:26
Веем холодом
1. Better, Я обычно еще сравниваю хеш из ип, юа пользователя с солью с записью в БД. Если не совпадает - прошу авторизоваться D.gif
0
3. Better 31.08.2014 / 17:52
Пришелец
2. Zдешний, Остроумно, но не по теме ).gif
0
4. Даниил 31.08.2014 / 18:02
Пришелец
3. Better, по идее при регистрации, должны записываться или при входе ).gif
0
5. JustZero 31.08.2014 / 18:03
Оранжевые штаны
3. Better, уберешь запись логина и пароля в куки, пользователи задолбуться входить на сайт
0
6. Дмитрий 31.08.2014 / 18:53
Малиновые штаны
Не путайте чувака, а то у него моск взорвется.

1. Better, тебе надо думать не о том, что писать в куки (туда можно писать все что угодно). Тебе надо искать каким образом эти куки воруют у пользователей. Найдешь дырку в скрипте и залатаешь ее, тогда проблема решится сама собой.
0
7. Саша 31.08.2014 / 21:35
Землянин
задам вопрос не по теме)) а как можно своровать куки ЮЗЕР'ов? идет ведь запись в куки браузера, где данные одного юзера...
0
8. shilo 31.08.2014 / 21:55
Чатланин
7. JaRUS, XSS
0
9. VITAMIN 06.12.2014 / 23:00
Пришелец
Для безопасности куки нужно устанавливать в режиме http only,таким образом хацкер не сможет получить их с JS и отправить на сниффер
0
10. Tegos 06.12.2014 / 23:46
Пацак
9. VITAMIN, ну, чисто теоретически, атрибут HttpOnly и использование SSL-соединения должны помочь, но не решают главную проблему.
Для выполнения действия необходимо авторизоваться!
Стикеры / Теги / Правила / Топ тем / Топ тем / Поиск