Autor | Zpráva | ||
---|---|---|---|
Timy Profil |
#1 · Zasláno: 17. 1. 2009, 23:45:40
imploder
Neříkám, že nefunguje; říkám, že se mi to nelíbí jako hezké řešení. |
||
imploder Profil |
#2 · Zasláno: 18. 1. 2009, 00:03:06
Timy
„Neříkám, že nefunguje; říkám, že se mi to nelíbí jako hezké řešení.“ Je to řešení standardní. Ten tvůj způsob se mi nějak nezdá - nevidím, že by byl schopen nějak ověřit právo to smazání provést. Pokud se ten náhodný identifikátor uloží někam do cookies, útočník si ho tam může jednoduše najít a přečíst. Jako ochrana proti komentářovému spamu možná dobré, ale jako ochrana proti mazání souborů na serveru je to naprosto nevyhovující. |
||
Timy Profil |
#3 · Zasláno: 18. 1. 2009, 00:08:05
imploder
Jak může útočník získat hodnotu z mé cookie, není-li web jinak děravý? A mohu to samozřejmě uložit do session. Mně spíš přijde jako standardní řešení to mé, používá to například Seznam (odkaz na odhlášení má tento tvar: /logoutProcess?hash=1214520795). |
||
imploder Profil |
#4 · Zasláno: 18. 1. 2009, 00:12:23
Timy
„Jak může útočník získat hodnotu z mé cookie, není-li web jinak děravý?“ Cookies se přece ukládají v prohlížeči, ne na serveru. Když si v Opeře dám Nástroje->Pokročilé->Cookies..., tak se mi zobrazí seznam všech cookies a můžu si je prohlížet a vyhledávat v nich. |
||
Timy Profil |
#5 · Zasláno: 18. 1. 2009, 00:15:02
imploder
No a? Nechápu… Útočník snad nemá přístup ke mně do počítače. A pokud ano, může si stejně tak přeposlat URL i se sessid. Navíc jak jsem říkal, mohu to uložit do session. |
||
imploder Profil |
#6 · Zasláno: 18. 1. 2009, 00:46:45
Timy
Ach jo... útočník si stáhne stránku, vloží údaje včetně cookies do http požadavku a odešle. Nebo prostě navštíví tu stránku a soubor odešle. Nikde tam není žádné heslo, tak jak poznáš oprávněného uživatele od útočníka? |
||
Timy Profil |
#7 · Zasláno: 18. 1. 2009, 00:49:50
imploder
„útočník si stáhne stránku“ Jak si může útočník stáhnout stránku, když není přihlášený? Útočník se pokusí stáhnout stránku, systém zjistí, že není přihlášený, systém vygeneruje nějakou chybovou hlášku… |
||
imploder Profil |
#8 · Zasláno: 18. 1. 2009, 01:09:11
Timy
Aha, takže tvůj systém počítá s přihlašováním, jenom klíč (tj. to náhodné id) se nevytváří při přihlášení, ale vytváří se při generování každé stránky znovu. V tom případě v tom moc nevidím rozdíl, jenom je to míň efektivní. Asi je to ale bezpečnější kvůli tomu, že klíč se pokaždé použije jen jednou - na ten mazací skript - a potom už je neplatný. Zase je to takhle o dost náročnější. Když se takový identifikátor vloží do URL, co ti někdo pošle, tak ho i tak může použít, dokud jsi ho nepoužil ty. Oproti klasickému přihlašování to v tomhle směru nic zvláštního nepřináší - tam by identifikátor fungoval až do odhlášení. Odhlášení je vhodné nastavit po určitém čase automaticky. |
||
quarry Profil |
#9 · Zasláno: 20. 1. 2009, 10:34:16
Zatím moc děkuji za všechny odpovědi. Podívám se na to až bude čas, za...né zkouškové období.
|
||
quarry Profil |
#10 · Zasláno: 20. 1. 2009, 12:00:24
Ahoj, můžete mi prosím ještě pomoct nejsem zas tak znalý php a nevím přesně jak mám to co jste mi napsali zakomponovat do řešení na webtip.cz.
A ještě něco: <a href="?akce=smaz&nazev=jmenosouboru.jpg">KOS</a> Nebude to umět mazat pouze jpg? Díky. |
||
Časová prodleva: 3 dny
|
|||
quarry Profil |
#11 · Zasláno: 23. 1. 2009, 09:02:15
Nemůžete mi někdo poradit? Byl bych fakt vděčný, potřebuji to udělat.
|
||
Časová prodleva: 15 let
|
0