unsorted ~ Помощь по PHP

Все вопросы по PHP сюда

Возраст: 38 C нами с 25.01.2005 Репутация: **133**

Язык программирования, разработанный специально для динамической генерации веб-страниц. Намного превосходит возможности SSI. Имеет функции работы с базами данных (MySQL), создания графических файлов Jpeg и PNG (библиотека GD), обработки XML-документов и многие другие.

Возраст: 45 C нами с 27.03.2005 Репутация: **205.2**

IDMAN, обратите внимание:

NarWhal писал(а):

На хосте злоумышленника создаётся скрипт pic.gif

Злоумышленник уж как-нибудь апач себе настроит. Смайлик

NarWhal, что-то мне подсказывает, что браузер не будет передавать форумные куки на хост злоумышленника (!= хост форума).

Возраст: 45 C нами с 28.07.2005 Репутация: **135.1**

Я вот чего придумал по этому поводу.
можно в куки записывать хэшированное пароль.ip [например md5($password.$ip) ] на котором это куки создается. тогда даже куки попрут толку от этого будет ноль
это из серии как американцы пытались спереть ракету от С-75 "двина" с кубы На вертолете была приделана механическая рука-захват, с помощью которой он хватал ракету и сваливал. В теории. наши придумали решение очень простое. связали несколько ракет цепью, и вертолет не смог их оторвать от земли ))

Возраст: 38 C нами с 08.10.2005 Репутация: **77.1**

А чего так сложно? Соль не проще использовать? И двойное шифрование? md5(md5(password).salt) - соль генерируется персонально для каждого и храниться в бд пользователей. В куки храниться эта конструкция - та же процедура для сверки.
В результате, даже если сперли куки, разложили по базе md5 и вскрыли, что мне лично представляется "слегка" затруднительным, соль из хеша выделить практически нереально Сарказм

Возраст: 45 C нами с 03.03.2006 Репутация: **100.4**

Да, вариант с солью уже давно себя зарекомендовал как самый простой и вполне надёжный.

Использование ip, вообще говоря, нежелательно. Потому как возможны ситуации: один ip ко многим пользователям ( локальная сеть ) и много ip к одному пользователю ( система динамических прокси и прочее ).

Возраст: 45 C нами с 28.07.2005 Репутация: **135.1**

4t0m, а если предположить, что в куки записаны параметры автологина. тогда даже не нужно раскладывать пароль. достаточно просто записать полученный куки в соответствующую папку (правда это всё моё имхо. не знаю будет-ли оно рабоать.. я сайты никогда не хакал Улыбочка

разве что свой собственный, который я вдоль и поперёк знаю)

Возраст: 33 C нами с 30.04.2006 Репутация: **77.5**

Silicoid, автологина?
Мб вы имеете в виду, что бессмертная кука хранит авторизационные данные пользователя? )

Послушайте, ваша проблема гораздо проще решается - просто сбрасывайте сессию, к которой кука привязана, скажем, через 5 минут без обращения к сайту по этой куке.

Добавлено спустя 5 минут 27 секунд:

Ах да, извиняюсь. Вы походу именно это и делаете.

Возраст: 45 C нами с 28.07.2005 Репутация: **135.1**

inkognit, давайте пойдем издалека.
вы ведь не всегда набираете логин и пароль, для того, чтобы зайти на ансортед. правильно?
значит какая-то информация, необходимая для автоматической авторизации, хранится в куки. как правило, это логин и хэшированный пароь. иликакой-нибудь идентификаитор и хэшированный пароль.

Логично предположить. что если стырить этот куки и записать его в папку с куки, то можно войти под аккаунтом пользователя у которого этот куки стырили. правильно?

Возраст: 33 C нами с 30.04.2006 Репутация: **77.5**

Да, это верно. сосбтвенно это один из наиболее распространенных способов несанкционированного доступа.
Для юзера единственный выхода - не юзать долгоживущие куки (читай - каждый раз вводить пароль заново).

Что касается меня, то я всегда набираю логин и пароль. Это просто хорошая привычка.

Возраст: 45 C нами с 28.07.2005 Репутация: **135.1**

Ну так вот. по этому-то я и предлагаю привязать куки к ip адресу. Как сказал NarWhal, тут тоже не всё без подводных камней, всё-равно таким образом можно практически полностью пресечь такой вид хака.

Да. человек, ip адрес которого динамический и постоянно меняется. будет постоянно вбивать логин и пароль. Извините. издержки.

Да. куки могут украсть и воспользоваться. Тогда, правда, круг поиска здорово сужается, потому, что если человек вошел под вашим ip, означает, что он находится в вашей сети. и такого куллхацкера всегда можно вычислить и морду набить.

Возраст: 45 C нами с 03.03.2006 Репутация: **100.4**

Silicoid, читал про два забавных способа затруднить жизнь взломщикам. При старте сессии можно запоминать:
1) пару ip + заголовок X-Forwarded-For, добавляемый к HTTP-запросу прокси-серверами.
2) получаемые заголовки User-Agent и Accept.

Эти данные передаются на сторону сервера автоматически, а потому их и хранить не надо, просто используя их как "отпечатки пальцев".

Преимущество первого в том, что не зависит от браузера, его же минус (как ранее и говорилось) в использовании ip. Собственно, он является расширенным решением, предлагаемым Вами.

Возраст: 42 C нами с 25.09.2006 Репутация: **77.9**

Извините, но я смеялся неделю над почтой. Я больше не могу, прекратите! Весело

Загляните пожалуйста в session.c, перед тем как рассуждать что как лучше генерить сессию пользователя (подсказка: как откроете нажмите CTRL+F и вбейте "php_session_create_id". "+" означает совместное нажатие клавиш CTRL и F. совместное означает ВМЕСТЕ)

А что же такое алгоритм Md5?
Ой, а там еще есть алгоритм SHA-1!
Советую дойти до раздела " Криптоанализ" в каждом описании алгоритма, дабы исключить из своих голов подозрение о подборе сессии методом перебора, и выбирать свои решения.

Почитайте про SQL-иньекции, почитайте про XSS, почитайте про Уязвимости AJAX.
Почитайте, наконец, рассадник злобных взломщиков сайтов - antichat (я вам кстати сессию свою оставил - в#е#ите меня! Улыбочка

)

Но только прекратите! Улыбочка

Возраст: 45 C нами с 03.03.2006 Репутация: **100.4**

jah, речь про подбор сессии и не шла. Это очевидно бесперспективная глупость. Рассматривается вариант, когда злоумышленник уже имеет его (id, а не самого пользователя Улыбочка

).

Учить азам криптоанализа не надо. Могу поучить не азам, надо? Эдакий каламбур на тему помахивания крипто-письками получился. Смешно

Давайте, что ли, в практическую плоскость перейдём, к конкретным вопросам. А то, каюсь, тоже участвую в раздувании теоретизирования...

Возраст: 33 C нами с 30.04.2006 Репутация: **77.5**

Silicoid писал(а):

Ну так вот. по этому-то я и предлагаю привязать куки к ip адресу. Как сказал NarWhal, тут тоже не всё без подводных камней, всё-равно таким образом можно практически полностью пресечь такой вид хака.

Если привязать сессию к IP-адресу, то в принципе, вы обезопасите пользователя на случай перехвата куки, за исключением случаев, когда злоумышленник будет находиться в одном с жертвой сегменте сети. Тогда применяется простой ARP-спуфинг и снова получаем несанкционированный доступ.
Впрочем, ваше решение - кардинальный скачок в повышении безопасности. Я указал на минусы - дальше сами. (Сорри, мне интересно, просто дел невпроворот)

C нами с 09.04.2005 Репутация: **0.1**

Господа, кто не сочтёт за труд, мне помочь? Я не знаю чего делать.

http://downloads.sourceforge.net/nocc/nocc-1.8.1.zip

Есть исходные тексты, все проблемы решил кроме одного:

Пользователь входит, и у него есть некие стандартные настройки.

Когда пользователь входит в свои свойства, там есть опции вида "Отправленную почту копировать" в "Список папок".

Так вот, блин, правда это тупо... Но по умолчанию эта опция выключена. Это ж каждому надо зайти, в свойства, включить эту опцию, выбрать папку Sent... Нажать кнопку "Применить изменения". - НИКТО сам это делать не будет... Они даже не знают чего за такое "Sent"... Зато они хотят потом спрашивать такие вопросы: А я вот давича письмо отправлял... По папкам лазаю, а его нету нигде... Где посмотреть отправленные письма?

Нашёл и понял логику работы профилей.

В папке /html/prefs.php эта форма генерирует страницу с настройками пользователя. И там можно задать эти умолчания.... После того как пользователь нажимает "Отправить настройки" тогда только эта форма срабатывает и генерирует конфиг пользователя. Ну даже если я и накручу эти настройки и по дефлоту там будут выбраны галочки и папки... Но это не решает проблему. Ведь для того чтобы сгенерировался конфиг пользователя он должен зайти в настроки нажать "Отправить настройки". А из 100 пользователей только один зайдёт в настройки... Остальные 99 потом будут вопрощать, а где мои отправленные письма...

Каким образом сделать так, чтобы уже конфиг пользователя либо генерировался при первом логине и туда парсились умолчательные значения, что будет тупо так-как пользователей много, и они то приходят то уходят, засорять сервер хламом не хочется, либо чтобы умолчательниые TEMP настройки - они ведь тоже должны быть, ведь пока пользователь не зайдёт в свои настройки конфигурационный файл профиля пользователя не сгенерируется - я проверял. - Вот надо чтобы TEMP параметры содержали в себе нужные значения переменных для того чтобы если пользователь не ходит в настройки работало у него почта приемлемо. А когда входит, чтобы галочки уже стояли там где надо в профиле - т.е. страница профиля генерировалсь также как и значения временного профиля.

Отблагодарю.

Очень сори, я но я не очень понимаю как работает этот php + javascript... Прошу помощи.

Добавлено спустя 1 час 10 минут 22 секунды:

P.S. можно также просто подсказать как это обычно делается. Я попробую сам догадаться до остального.

Возраст: 38 C нами с 08.10.2005 Репутация: **77.1**

Товарищи, очень нужна помощь в одном вопросе.
Имеется сайт, собран на ядре студии, была необходимость перевести сайт на ЧПУ. Главная проблема заключается в том, что страницы сайта с русскоязычными УРЛ не индексируются Яндеском и Гуглом, а сайт нужно продвигать. Система ЧПУ построена на ModRewrite Апача. Все ссылки обрабатываются специальной функцией генератором, так что внести глобальные изменения в систему генерации УРЛ не проблема. Подскажите, как заставить поисковики видеть их. Может надо как-то подготовить УРЛ, типа js'кого encodeURI? Сейчас все УРЛ находятся в UTF-8.