|
На страницу « 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25 » |
|
|
|
|
Возраст: 38 C нами с 25.01.2005 Репутация: 133
|
|
Язык программирования, разработанный специально для динамической генерации веб-страниц. Намного превосходит возможности SSI. Имеет функции работы с базами данных (MySQL), создания графических файлов Jpeg и PNG (библиотека GD), обработки XML-документов и многие другие.
|
|
|
|
|
|
|
|
Возраст: 45 C нами с 27.03.2005 Репутация: 205.2
|
|
IDMAN, обратите внимание:
NarWhal писал(а): |
На хосте злоумышленника создаётся скрипт pic.gif
|
Злоумышленник уж как-нибудь апач себе настроит.
NarWhal, что-то мне подсказывает, что браузер не будет передавать форумные куки на хост злоумышленника (!= хост форума).
|
_____________________________ Уточняйте значение слов, и вы избавите человечество от половины своих заблуждений. Рене Декарт
|
|
|
|
|
|
|
Возраст: 45 C нами с 28.07.2005 Репутация: 135.1
|
|
Я вот чего придумал по этому поводу.
можно в куки записывать хэшированное пароль.ip [например md5($password.$ip) ] на котором это куки создается. тогда даже куки попрут толку от этого будет ноль
это из серии как американцы пытались спереть ракету от С-75 "двина" с кубы На вертолете была приделана механическая рука-захват, с помощью которой он хватал ракету и сваливал. В теории. наши придумали решение очень простое. связали несколько ракет цепью, и вертолет не смог их оторвать от земли ))
|
|
|
|
|
|
|
|
Возраст: 38 C нами с 08.10.2005 Репутация: 77.1
|
|
А чего так сложно? Соль не проще использовать? И двойное шифрование? md5(md5(password).salt) - соль генерируется персонально для каждого и храниться в бд пользователей. В куки храниться эта конструкция - та же процедура для сверки.
В результате, даже если сперли куки, разложили по базе md5 и вскрыли, что мне лично представляется "слегка" затруднительным, соль из хеша выделить практически нереально
|
|
|
|
|
|
|
|
Возраст: 45 C нами с 03.03.2006 Репутация: 100.4
|
|
Да, вариант с солью уже давно себя зарекомендовал как самый простой и вполне надёжный.
Использование ip, вообще говоря, нежелательно. Потому как возможны ситуации: один ip ко многим пользователям ( локальная сеть ) и много ip к одному пользователю ( система динамических прокси и прочее ).
|
|
|
|
|
|
|
|
Возраст: 45 C нами с 28.07.2005 Репутация: 135.1
|
|
4t0m, а если предположить, что в куки записаны параметры автологина. тогда даже не нужно раскладывать пароль. достаточно просто записать полученный куки в соответствующую папку (правда это всё моё имхо. не знаю будет-ли оно рабоать.. я сайты никогда не хакал разве что свой собственный, который я вдоль и поперёк знаю)
|
|
|
|
|
|
|
|
Возраст: 33 C нами с 30.04.2006 Репутация: 77.5
|
|
Silicoid, автологина?
Мб вы имеете в виду, что бессмертная кука хранит авторизационные данные пользователя? )
Послушайте, ваша проблема гораздо проще решается - просто сбрасывайте сессию, к которой кука привязана, скажем, через 5 минут без обращения к сайту по этой куке.
Добавлено спустя 5 минут 27 секунд:
Ах да, извиняюсь. Вы походу именно это и делаете.
|
_____________________________ Дайте в руки мне баян, я порву его совсем.
|
|
|
|
|
|
|
Возраст: 45 C нами с 28.07.2005 Репутация: 135.1
|
|
inkognit, давайте пойдем издалека.
вы ведь не всегда набираете логин и пароль, для того, чтобы зайти на ансортед. правильно?
значит какая-то информация, необходимая для автоматической авторизации, хранится в куки. как правило, это логин и хэшированный пароь. иликакой-нибудь идентификаитор и хэшированный пароль.
Логично предположить. что если стырить этот куки и записать его в папку с куки, то можно войти под аккаунтом пользователя у которого этот куки стырили. правильно?
|
|
|
|
|
|
|
|
Возраст: 33 C нами с 30.04.2006 Репутация: 77.5
|
|
Да, это верно. сосбтвенно это один из наиболее распространенных способов несанкционированного доступа.
Для юзера единственный выхода - не юзать долгоживущие куки (читай - каждый раз вводить пароль заново).
Что касается меня, то я всегда набираю логин и пароль. Это просто хорошая привычка.
|
_____________________________ Дайте в руки мне баян, я порву его совсем.
|
|
|
|
|
|
|
Возраст: 45 C нами с 28.07.2005 Репутация: 135.1
|
|
Ну так вот. по этому-то я и предлагаю привязать куки к ip адресу. Как сказал NarWhal, тут тоже не всё без подводных камней, всё-равно таким образом можно практически полностью пресечь такой вид хака.
Да. человек, ip адрес которого динамический и постоянно меняется. будет постоянно вбивать логин и пароль. Извините. издержки.
Да. куки могут украсть и воспользоваться. Тогда, правда, круг поиска здорово сужается, потому, что если человек вошел под вашим ip, означает, что он находится в вашей сети. и такого куллхацкера всегда можно вычислить и морду набить.
|
|
|
|
|
|
|
|
Возраст: 45 C нами с 03.03.2006 Репутация: 100.4
|
|
Silicoid, читал про два забавных способа затруднить жизнь взломщикам. При старте сессии можно запоминать:
1) пару ip + заголовок X-Forwarded-For, добавляемый к HTTP-запросу прокси-серверами.
2) получаемые заголовки User-Agent и Accept.
Эти данные передаются на сторону сервера автоматически, а потому их и хранить не надо, просто используя их как "отпечатки пальцев".
Преимущество первого в том, что не зависит от браузера, его же минус (как ранее и говорилось) в использовании ip. Собственно, он является расширенным решением, предлагаемым Вами.
|
|
|
|
|
|
|
|
Возраст: 42 C нами с 25.09.2006 Репутация: 77.9
|
|
Извините, но я смеялся неделю над почтой. Я больше не могу, прекратите!
Загляните пожалуйста в session.c, перед тем как рассуждать что как лучше генерить сессию пользователя (подсказка: как откроете нажмите CTRL+F и вбейте "php_session_create_id". "+" означает совместное нажатие клавиш CTRL и F. совместное означает ВМЕСТЕ)
А что же такое алгоритм Md5?
Ой, а там еще есть алгоритм SHA-1!
Советую дойти до раздела " Криптоанализ" в каждом описании алгоритма, дабы исключить из своих голов подозрение о подборе сессии методом перебора, и выбирать свои решения.
Почитайте про SQL-иньекции, почитайте про XSS, почитайте про Уязвимости AJAX.
Почитайте, наконец, рассадник злобных взломщиков сайтов - antichat (я вам кстати сессию свою оставил - в#е#ите меня! )
Но только прекратите!
|
|
|
|
|
|
|
|
Возраст: 45 C нами с 03.03.2006 Репутация: 100.4
|
|
jah, речь про подбор сессии и не шла. Это очевидно бесперспективная глупость. Рассматривается вариант, когда злоумышленник уже имеет его (id, а не самого пользователя ).
Учить азам криптоанализа не надо. Могу поучить не азам, надо? Эдакий каламбур на тему помахивания крипто-письками получился.
Давайте, что ли, в практическую плоскость перейдём, к конкретным вопросам. А то, каюсь, тоже участвую в раздувании теоретизирования...
|
|
|
|
|
|
|
|
Возраст: 33 C нами с 30.04.2006 Репутация: 77.5
|
|
Silicoid писал(а): |
Ну так вот. по этому-то я и предлагаю привязать куки к ip адресу. Как сказал NarWhal, тут тоже не всё без подводных камней, всё-равно таким образом можно практически полностью пресечь такой вид хака.
|
Если привязать сессию к IP-адресу, то в принципе, вы обезопасите пользователя на случай перехвата куки, за исключением случаев, когда злоумышленник будет находиться в одном с жертвой сегменте сети. Тогда применяется простой ARP-спуфинг и снова получаем несанкционированный доступ.
Впрочем, ваше решение - кардинальный скачок в повышении безопасности. Я указал на минусы - дальше сами. (Сорри, мне интересно, просто дел невпроворот)
|
_____________________________ Дайте в руки мне баян, я порву его совсем.
|
|
|
|
|
|
|
C нами с 09.04.2005 Репутация: 0.1
|
|
Господа, кто не сочтёт за труд, мне помочь? Я не знаю чего делать.
http://downloads.sourceforge.net/nocc/nocc-1.8.1.zip
Есть исходные тексты, все проблемы решил кроме одного:
Пользователь входит, и у него есть некие стандартные настройки.
Когда пользователь входит в свои свойства, там есть опции вида "Отправленную почту копировать" в "Список папок".
Так вот, блин, правда это тупо... Но по умолчанию эта опция выключена. Это ж каждому надо зайти, в свойства, включить эту опцию, выбрать папку Sent... Нажать кнопку "Применить изменения". - НИКТО сам это делать не будет... Они даже не знают чего за такое "Sent"... Зато они хотят потом спрашивать такие вопросы: А я вот давича письмо отправлял... По папкам лазаю, а его нету нигде... Где посмотреть отправленные письма?
Нашёл и понял логику работы профилей.
В папке /html/prefs.php эта форма генерирует страницу с настройками пользователя. И там можно задать эти умолчания.... После того как пользователь нажимает "Отправить настройки" тогда только эта форма срабатывает и генерирует конфиг пользователя. Ну даже если я и накручу эти настройки и по дефлоту там будут выбраны галочки и папки... Но это не решает проблему. Ведь для того чтобы сгенерировался конфиг пользователя он должен зайти в настроки нажать "Отправить настройки". А из 100 пользователей только один зайдёт в настройки... Остальные 99 потом будут вопрощать, а где мои отправленные письма...
Каким образом сделать так, чтобы уже конфиг пользователя либо генерировался при первом логине и туда парсились умолчательные значения, что будет тупо так-как пользователей много, и они то приходят то уходят, засорять сервер хламом не хочется, либо чтобы умолчательниые TEMP настройки - они ведь тоже должны быть, ведь пока пользователь не зайдёт в свои настройки конфигурационный файл профиля пользователя не сгенерируется - я проверял. - Вот надо чтобы TEMP параметры содержали в себе нужные значения переменных для того чтобы если пользователь не ходит в настройки работало у него почта приемлемо. А когда входит, чтобы галочки уже стояли там где надо в профиле - т.е. страница профиля генерировалсь также как и значения временного профиля.
Отблагодарю.
Очень сори, я но я не очень понимаю как работает этот php + javascript... Прошу помощи.
Добавлено спустя 1 час 10 минут 22 секунды:
P.S. можно также просто подсказать как это обычно делается. Я попробую сам догадаться до остального.
|
|
|
|
|
|
|
|
Возраст: 38 C нами с 08.10.2005 Репутация: 77.1
|
|
Товарищи, очень нужна помощь в одном вопросе.
Имеется сайт, собран на ядре студии, была необходимость перевести сайт на ЧПУ. Главная проблема заключается в том, что страницы сайта с русскоязычными УРЛ не индексируются Яндеском и Гуглом, а сайт нужно продвигать. Система ЧПУ построена на ModRewrite Апача. Все ссылки обрабатываются специальной функцией генератором, так что внести глобальные изменения в систему генерации УРЛ не проблема. Подскажите, как заставить поисковики видеть их. Может надо как-то подготовить УРЛ, типа js'кого encodeURI? Сейчас все УРЛ находятся в UTF-8.
|
|
|
|
|
|
|
|
На страницу « 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25 »
|
|