Приветствуем на Форум Херсона. Форум Херсонской молодежи.. На данный момент Вы находитесь на форуме как Гость и имеете очень ограниченные возможности и права. Что бы писать или отвечать в темах, загружать картинки, файлы на форуме Вам нужно зарегистрироваться, что совершенно бесплатно. Регистрация очень быстрая, не откладывайте эту процедуру! Если возникнут проблемы с регистрацией напишите нам. |
|
Программирование Все вопросы по написанию программ |
|
Опции темы |
31.03.2009, 18:37 | #1 (Ссылка на пост) |
Местные мы
Пол:
|
безопасность веб
по поводу веб - безопасности: если я авторизировал пользователя, и ему в дальнейшем лень нажимать кнопочки, чтобы входить повторно под своим именем, то я ложу ему в клиент куку, которую затем и читаю, ну и есс решаю, пускать его или нет. То есть получается, безопасность зиждется на наличии в клиенте куки (пусть даже зашифрованной). Не подскажете ли варианты? Ну или где почитать. Заранее спасибо.
|
|
31.03.2009, 20:54 | #2 (Ссылка на пост) | ||||||||
Щас сменю себе статус
Пол:
Благодарил(а): 9,926
Благодарили 6,148 раз в 2,096 постах
Галерея:
0
Вес репутации: 82
|
зиждется - я чёто слова такого не знаю, можешь по-русски пожалуйста. та и вообще более конкретный вопрос задай, а то не понятно что тебе не ясно.
__________________
|
||||||||
|
31.03.2009, 23:36 | #3 (Ссылка на пост) | |
Местные мы
Пол:
|
Цитата:
По поводу безопасности интересует такой вопрос - если вот я исхитрился и во время сеанса (хотя наверное и потом также) другого пользователя спер куку и установил себе в браузер, то вроде как я уже и есть другой пользователь для исходной странички. Меня интересуют существующие дополнительные варианты защиты (не теоретические типа по сетчатке глаза) без привязки к IP (пример нашей сети-грубо у всех один), браузеру. То есть привязывается ли кука как-то к компу. Интересуют варианты, практически работающие в инете. Заранее спасибо p.s. все вышесказанное относится к повторному узнаванию пользователя без ввода с его стороны имени и пароля, то есть какие-то данные должны оставаться у него в клиенте Последний раз редактировалось kovalev, 31.03.2009 в 23:59. |
|
|
Сказали Спасибо пользователю kovalev за этот пост: | TIGR (01.04.2009) |
01.04.2009, 09:00 | #4 (Ссылка на пост) | ||||||||
АптИчески непразрачЕн.
Пол:
Адрес: Дома
Благодарил(а): 483
Благодарили 1,159 раз в 423 постах
Галерея:
0
Вес репутации: 30
|
Юзай хардварный кей на флэшке 8)
ПыСы На данном этапе вэба, с учётом малости параметров для решения этай задачи, секурных решений практически нет.
__________________
Меньше, чем где-либо, я претендую здесь на полноту, иначе мне пришлось бы повторить массу превосходных житейских правил, преподанных мудрецами разных времен, начиная с Феогниса и псевдо-Соломона и кончая Ларошфуко. Я буду излагать лишь то, что мне пришло на ум, показалось заслуживающим сообщения, и что, насколько мне не изменяет память, не было еще сказно, или, если и было, то не совсем так, я только подбираю колосья на необозримом, другими до меня сжатом, поле. |
||||||||
|
Сказали Спасибо пользователю Absent за этот пост: | TIGR (01.04.2009) |
01.04.2009, 09:32 | #5 (Ссылка на пост) | ||||||||
Щас сменю себе статус
Пол:
Благодарил(а): 9,926
Благодарили 6,148 раз в 2,096 постах
Галерея:
0
Вес репутации: 82
|
действительно такое слово есть )) не знал.
тут пока действительно нет решений, единсвенное что ты можешь - устранить возможность угона кук.
__________________
|
||||||||
|
01.04.2009, 11:24 | #6 (Ссылка на пост) | |||||||||
Модератор
Пол:
Благодарил(а): 30,810
Благодарили 37,603 раз в 8,037 постах
Галерея:
0
Вес репутации: 401
|
Цитата:
__________________
Нужно делать так, как нужно. А как не нужно, делать не нужно. |
|||||||||
|
01.04.2009, 15:04 | #7 (Ссылка на пост) | ||||||||
Щас сменю себе статус
Пол:
Благодарил(а): 9,926
Благодарили 6,148 раз в 2,096 постах
Галерея:
0
Вес репутации: 82
|
ну хотябы не разрешать выполнение пользовательского джаваскрипта а то на одном сайте солидной как бы компании это было так сказать очень веселой забавой - написать чего нибудь своё, не говоря уже о воровстве этих самых кук )))
__________________
|
||||||||
|
01.04.2009, 17:24 | #8 (Ссылка на пост) |
Местные мы
Пол:
|
Спасибо ответившим, будем думать )
|
|
01.04.2009, 20:22 | #9 (Ссылка на пост) | ||||||||
Уже сменил себе статус
Пол:
Благодарил(а): 3,844
Благодарили 1,942 раз в 919 постах
Галерея:
0
Вес репутации: 40
|
Есть еще альтернатива кукам - генерится сессионый уникальный ключ, и добавляется к каждому запросу. Так умеет и PHP, и ASP.Net делать. И ограниченное время жизни сессии. Но опять же - не сложно узнать этот сессионный ключ. Хотя в данном случае он не подойдет
PhoeniXX добавил 01.04.2009 в 21:33 Можешь попробовать генерить кукую, кроме нужно информации еще некую дополнительную - типа версия браузера, что он поддерживает, etc. Все это шифровать и отдавать клиенту. Еще есть третий вариант - инфокарты. В винде известна как Windows Cardspace. Сайт при регистрации пользователя выдает ему лично его уникальную инфокарту, который виндой (Cardspace-ом) ставиться в локальное хранилище пользователя. На странице логине размещается <object> с оопределенным идентификатором. При клике пользователя на клиенте запускается CardSpace, который предлагает пользователю выбрать нужную InfoCard-у, и при выборе она передаеться на сервер. По ней можно идентифицировать пользователя, но хранить его сессию можно в параметре запроса\куке с сильно ограниченным временем жизни. PhoeniXX добавил 01.04.2009 в 22:46 К слову, нужно еще поискать существуют ли open source решения для инфо кард для *nix систем. Если я не ошибаюсь, стандарт открытый, и они должны быть. Последний раз редактировалось PhoeniXX, 01.04.2009 в 21:46. Причина: Добавлено сообщение |
||||||||
|
Здесь присутствуют: 1 (пользователей - 0 , гостей - 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
безопасность | Аркуэн | Убей в себе ламера | 2 | 08.11.2006 19:15 |
Безопасность компьютеров | Anonymous | Архив | 19 | 22.08.2005 12:17 |