Опасность Cookies в HTTP - Visavi.net
https://visavi.net/
RSS - Visavi.nethttps://visavi.net/assets/img/images/logo_small.pngRSS - Visavi.net
https://visavi.net/
[email protected] (admin)[email protected] (admin)Fri, 19 Apr 2024 21:49:17 +0300Автор , выход есть . Таскать данные в GET .
https://visavi.net/topics/41259/678968
Опасность Cookies в HTTP СергейWed, 25 Feb 2015 01:33:24 +0300Сообщенияhttps://visavi.net/topics/41259/678968<pre class="prettyprint"><?php
array(2) {
["referrer"]=> string(44) "[nonsec]visavi.net/forum/topic.php?tid=42010"
["supportOnlineTalkID"]=> string(32) "NHpdyU3SVF5USqNuaX8Gws2Ktmv0BrUx" }
</pre>
Кто сталкивался с подобными куками?<br>
<br>
<em><span style="font-size:x-small">Добавлено через 00:59 сек.</span></em><br>
И ведь не удаляются никак зараза<br>
<br>
<em><span style="font-size:x-small">Добавлено через 08:37 сек.</span></em><br>
[nonsec] гуглил толк 0
https://visavi.net/topics/41259/678967
Опасность Cookies в HTTP Dmitry KokorinTue, 24 Feb 2015 23:27:03 +0300Сообщенияhttps://visavi.net/topics/41259/67896726. <strong>DimmoS</strong>, а смысл тогда в секретном слове? можно заставить логин и пароль вводить.<br>
Такой подход имеет смысл только при одноразовых словах (например если код в СМС высылается, или при регистрации выдаётся список таких кодов).
https://visavi.net/topics/41259/678926
Опасность Cookies в HTTP shiloTue, 24 Feb 2015 06:37:08 +0300Сообщенияhttps://visavi.net/topics/41259/67892629. <strong>Tegos</strong>, всякое бывает, никто не застрахован. .
https://visavi.net/topics/41259/678925
Опасность Cookies в HTTP Dmitry KokorinTue, 24 Feb 2015 03:05:49 +0300Сообщенияhttps://visavi.net/topics/41259/67892528. <strong>DimmoS</strong>, ты веришь что у тебя кто-то будет куки воровать?
https://visavi.net/topics/41259/678924
Опасность Cookies в HTTP TegosTue, 24 Feb 2015 01:19:13 +0300Сообщенияhttps://visavi.net/topics/41259/67892427. <strong>Tegos</strong>, мне
https://visavi.net/topics/41259/678921
Опасность Cookies в HTTP Dmitry KokorinMon, 23 Feb 2015 23:38:38 +0300Сообщенияhttps://visavi.net/topics/41259/678921кому нужна такая безопасность? <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile">
https://visavi.net/topics/41259/678919
Опасность Cookies в HTTP TegosMon, 23 Feb 2015 23:06:18 +0300Сообщенияhttps://visavi.net/topics/41259/67891925. <strong>shilo</strong>, я думаю мой варик в п.24 лучше подойдет чем токены
https://visavi.net/topics/41259/678907
Опасность Cookies в HTTP Dmitry KokorinMon, 23 Feb 2015 19:05:32 +0300Сообщенияhttps://visavi.net/topics/41259/67890723. <strong>KpuTuK</strong>, полный... два токена вместо одного, с какой целью? зачем нужен временный, если есть постоянный?<br>
Почему-бы не использовать ttl кук, вместо вот этого велосипеда с сравнением времени?
https://visavi.net/topics/41259/678905
Опасность Cookies в HTTP shiloMon, 23 Feb 2015 19:01:27 +0300Сообщенияhttps://visavi.net/topics/41259/67890523. <strong>KpuTuK</strong>, еще думаю как вариант хранить в базе некий "секретный слоВо" при авторизации по кукам спрашивать это слово и если гут то писать в сессию что все Ок если нет то просим авторизации <br>
Это как ключ от дома тебя как бы узнают дома но без секрета не пускают, таким образом даже если сп**ть куки то никак не авторизируешься пока не ведешь этот секрет
https://visavi.net/topics/41259/678904
Опасность Cookies в HTTP Dmitry KokorinMon, 23 Feb 2015 19:00:21 +0300Сообщенияhttps://visavi.net/topics/41259/67890422. <strong>DimmoS</strong>, можно чтото типа токенов сделать временных<br>
<pre class="prettyprint">
<?php
$token = explode(':', $data->user_token);
if (isset($_COOKIE['user_token']) && isset($_COOKIE['user_token_time'])) {
if ($token[0] === $_COOKIE['user_token']) {
if (time() < $_COOKIE['user_token_time']) {
// Все гуд
} elseif (time() === $_COOKIE['user_token_time']) {
// создаем новый токен и пишем его в куки и базу
}else {
// Уведомление о том что токен устарел
}
} else {
// Уведомление о том что токен не действителен
}
}
</pre>
можно сделать еще вечный токен и менять его поле каждой авторизации и если временный токен устарел то смотреть по вечному<br>
<br>
хотя может и бред
https://visavi.net/topics/41259/678902
Опасность Cookies в HTTP KpuTuKMon, 23 Feb 2015 18:44:10 +0300Сообщенияhttps://visavi.net/topics/41259/678902Варианты:<br>
ИП - отпадает сразу, думаю обьяснения излишни <br>
ЮА - как вариант! Пример <pre class="prettyprint"><?php
$dataCode = md5($uid);
$dataHash = md5($ua.$uid.$upass);
setcookie("code",$dataCode,time()+10000);
setcookie("name",$dataHash,time()+10000);
//auth
$res = query("SELECT `id`,`pass` FROM `user` WHERE `code`='".$dataCode."' LIMIT 1");
If(!$res){
//stop
}else{
$data = $res->fetch_object();
if($_COOKIE['name'] == md5($ua.$data->id.$data->pass){
//session write
}</pre>
Чо-то типа того.. <br>
Соль и т.п по аналогии. .<br>
Думаю что еще добавить /заменить
https://visavi.net/topics/41259/678899
Опасность Cookies в HTTP Dmitry KokorinMon, 23 Feb 2015 18:24:47 +0300Сообщенияhttps://visavi.net/topics/41259/67889920. <strong>Tegos</strong>, хз, Но интересная, кое-что взял на заметку <br>
Думаю как можно максимально обезопасить сайт <br>
Перебираю все попадающиеся варианты, на многие плевался как верблюд <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile">
https://visavi.net/topics/41259/678897
Опасность Cookies в HTTP Dmitry KokorinMon, 23 Feb 2015 17:53:38 +0300Сообщенияhttps://visavi.net/topics/41259/67889719. <strong>DimmoS</strong>, интересно когда она написана ...
https://visavi.net/topics/41259/678895
Опасность Cookies в HTTP TegosMon, 23 Feb 2015 16:45:54 +0300Сообщенияhttps://visavi.net/topics/41259/678895<div class="hidden-text">
<span class="fw-bold">Скрытый контент:</span> Для выполнения действия необходимо авторизоваться!</div>
Интересная статья по теме
https://visavi.net/topics/41259/678893
Опасность Cookies в HTTP Dmitry KokorinMon, 23 Feb 2015 16:09:48 +0300Сообщенияhttps://visavi.net/topics/41259/678893