« 1 2
Autor Zpráva
Timy
Profil
imploder
Neříkám, že nefunguje; říkám, že se mi to nelíbí jako hezké řešení.
imploder
Profil
Timy
Neříkám, že nefunguje; říkám, že se mi to nelíbí jako hezké řešení.
Je to řešení standardní. Ten tvůj způsob se mi nějak nezdá - nevidím, že by byl schopen nějak ověřit právo to smazání provést. Pokud se ten náhodný identifikátor uloží někam do cookies, útočník si ho tam může jednoduše najít a přečíst. Jako ochrana proti komentářovému spamu možná dobré, ale jako ochrana proti mazání souborů na serveru je to naprosto nevyhovující.
Timy
Profil
imploder
Jak může útočník získat hodnotu z mé cookie, není-li web jinak děravý? A mohu to samozřejmě uložit do session. Mně spíš přijde jako standardní řešení to mé, používá to například Seznam (odkaz na odhlášení má tento tvar: /logoutProcess?hash=1214520795).
imploder
Profil
Timy
Jak může útočník získat hodnotu z mé cookie, není-li web jinak děravý?
Cookies se přece ukládají v prohlížeči, ne na serveru. Když si v Opeře dám Nástroje->Pokročilé->Cookies..., tak se mi zobrazí seznam všech cookies a můžu si je prohlížet a vyhledávat v nich.
Timy
Profil
imploder
No a? Nechápu… Útočník snad nemá přístup ke mně do počítače. A pokud ano, může si stejně tak přeposlat URL i se sessid. Navíc jak jsem říkal, mohu to uložit do session.
imploder
Profil
Timy
Ach jo...
útočník si stáhne stránku, vloží údaje včetně cookies do http požadavku a odešle. Nebo prostě navštíví tu stránku a soubor odešle. Nikde tam není žádné heslo, tak jak poznáš oprávněného uživatele od útočníka?
Timy
Profil
imploder
útočník si stáhne stránku
Jak si může útočník stáhnout stránku, když není přihlášený? Útočník se pokusí stáhnout stránku, systém zjistí, že není přihlášený, systém vygeneruje nějakou chybovou hlášku…
imploder
Profil
Timy
Aha, takže tvůj systém počítá s přihlašováním, jenom klíč (tj. to náhodné id) se nevytváří při přihlášení, ale vytváří se při generování každé stránky znovu. V tom případě v tom moc nevidím rozdíl, jenom je to míň efektivní. Asi je to ale bezpečnější kvůli tomu, že klíč se pokaždé použije jen jednou - na ten mazací skript - a potom už je neplatný. Zase je to takhle o dost náročnější. Když se takový identifikátor vloží do URL, co ti někdo pošle, tak ho i tak může použít, dokud jsi ho nepoužil ty. Oproti klasickému přihlašování to v tomhle směru nic zvláštního nepřináší - tam by identifikátor fungoval až do odhlášení. Odhlášení je vhodné nastavit po určitém čase automaticky.
quarry
Profil
Zatím moc děkuji za všechny odpovědi. Podívám se na to až bude čas, za...né zkouškové období.
quarry
Profil
Ahoj, můžete mi prosím ještě pomoct nejsem zas tak znalý php a nevím přesně jak mám to co jste mi napsali zakomponovat do řešení na webtip.cz.
A ještě něco: <a href="?akce=smaz&amp;nazev=jmenosouboru.jpg">KOS</a> Nebude to umět mazat pouze jpg?
Díky.
quarry
Profil
Nemůžete mi někdo poradit? Byl bych fakt vděčný, potřebuji to udělat.
« 1 2

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: