Спустя 5 минут, 46 секунд (27.01.2012 - 12:51) Семён написал(а):
Либо вы не так поняли смысл статьи, либо тот кто её написал
действительно ущерб не понимающий, то что пишет.
Куки не взламыют, их подделывают,
крадут и используют при определённых типах авторизации.
действительно ущерб не понимающий, то что пишет.
Куки не взламыют, их подделывают,
крадут и используют при определённых типах авторизации.
Спустя 1 минута, 31 секунда (27.01.2012 - 12:52) Shkiper написал(а):
Семен а можно узнать как их ПОДДЕЛЫВАЮТ???
Спустя 5 секунд (27.01.2012 - 12:52) Игорь_Vasinsky написал(а):
что значит легко подделат? нужног для начала знать что они из себя представляют, как выглядат, а это можно через XSS с помощью, например JS и alert. Или можно сначала их получить законно, потом расшифровать и подделать.
можешь защищаться session_id()
можешь защищаться session_id()
Спустя 2 минуты, 10 секунд (27.01.2012 - 12:54) Shkiper написал(а):
тоесть если мне попадеться супер-пупер хакер то он слегка куки взломает(если без session_id)?????
Спустя 18 секунд (27.01.2012 - 12:55) Семён написал(а):
Deert
Допустим, на сайте есть некая уязвимость, которая позволяет тебе в гостевой книге оставить текст + javascript, смысл которого прочитать и отправить cookie на определённый адрес.
Посетитель или ещё хуже админ, заходя в гостевую будет отправлять хакеру свои куки, затем ты (хакер) заходишь в редактор куков устанавливаешь полученные значения и вуаля ты (хакер) авторизирован под другими логином.
Допустим, на сайте есть некая уязвимость, которая позволяет тебе в гостевой книге оставить текст + javascript, смысл которого прочитать и отправить cookie на определённый адрес.
Посетитель или ещё хуже админ, заходя в гостевую будет отправлять хакеру свои куки, затем ты (хакер) заходишь в редактор куков устанавливаешь полученные значения и вуаля ты (хакер) авторизирован под другими логином.
Спустя 1 минута, 14 секунд (27.01.2012 - 12:56) Игорь_Vasinsky написал(а):
)) защита от XSS PHP и SQL - инъекций - вот что оч важно.
Спустя 55 секунд (27.01.2012 - 12:57) Семён написал(а):
Игорь_Vasinsky
Нет смысла защищаться от того, что не понимаешь
Нет смысла защищаться от того, что не понимаешь
Спустя 1 минута, 44 секунды (27.01.2012 - 12:59) Shkiper написал(а):
Тоетсь чем меньше уязвимостей тем больше шан спать спокойней!!!!(еслиб я еще знал где эти уязвимости??)
Спустя 4 минуты, 9 секунд (27.01.2012 - 13:03) Игорь_Vasinsky написал(а):
Цитата |
Тоетсь чем меньше уязвимостей |
не правильный подход. разпработку нужно сразу вести операясь на безопасность.
Цитата |
Игорь_Vasinsky Нет смысла защищаться от того, что не понимаешь |
значит стоит ознокомится, и здесь и в инете есть масса статей и даже примеры взломов. Нужно поставить себя на место хулигана.
Спустя 49 секунд (27.01.2012 - 13:04) Игорь_Vasinsky написал(а):
Deert
я те выше описал. гугл и поиск по форуму те в помощь.
я те выше описал. гугл и поиск по форуму те в помощь.
Спустя 1 час, 16 минут, 29 секунд (27.01.2012 - 14:20) inpost написал(а):
Как подделывать... куки лежат в папке: documents and setting/admin/cookie/ -там куки от IE, открыл блокнотом и исправил данные.
Легко, потому что эти данных хранятся у клиента, злого и подлого. А сессия - на сервере.
Легко, потому что эти данных хранятся у клиента, злого и подлого. А сессия - на сервере.
Спустя 1 час, 31 минута, 14 секунд (27.01.2012 - 15:51) neadekvat написал(а):
Да что там, помню, сайт допиливал (и исправлял ошибки предыдущего кодера), так там система была: при логине в кукисы пишется твой логин, id, и еще какая-то хрень. По id потом проверяются права пользователя и в соответствии с этим открываются какие-то возможности на сайте.
То есть тупо меняешь в своих кукисах id на админский - вуаля.
Но это клинический случай, конечно.
То есть тупо меняешь в своих кукисах id на админский - вуаля.
Но это клинический случай, конечно.
Спустя 1 час, 18 минут, 27 секунд (27.01.2012 - 17:10) Shkiper написал(а):
Ну я вот сделаю все на сесиях а как мне сделать кнопку Запомнить меня ведь на сессии нельзя время делать?????
Спустя 12 минут, 46 секунд (27.01.2012 - 17:23) killer8080 написал(а):
Deert
А по какому принципу работают сессии хоть знаешь?
Как можно сравнивать сессии и куки, это все равно что сравнивать шнурки и ботинки, что лучше?
А по какому принципу работают сессии хоть знаешь?
Как можно сравнивать сессии и куки, это все равно что сравнивать шнурки и ботинки, что лучше?
Спустя 1 день, 4 часа, 13 минут, 23 секунды (28.01.2012 - 21:36) Shkiper написал(а):
все нашел функцию для того чтобы время сессий задавать(куки на свалку сесси на трон ХеХ)
Спустя 52 минуты, 52 секунды (28.01.2012 - 22:29) killer8080 написал(а):
Цитата (Deert @ 28.01.2012 - 20:36) |
куки на свалку сесси на трон ХеХ |
сессии работают на куках
Спустя 14 минут, 29 секунд (28.01.2012 - 22:43) Nikitian написал(а):
Цитата (killer8080 @ 28.01.2012 - 22:29) | ||
сессии работают на куках |
Не всегда же
Спустя 3 минуты, 53 секунды (28.01.2012 - 22:47) killer8080 написал(а):
Цитата (Nikitian @ 28.01.2012 - 21:43) |
Не всегда же |
В основном
use_trans_sid это крайний случай, который нужно использовать осторожно
Спустя 13 часов, 15 минут, 8 секунд (29.01.2012 - 12:02) Shkiper написал(а):
Из всего этого я уяснил если не хочешь быть взломаным или еще хуже полностью с обрушенный проэктом который ты делал много-много времени то использовать куки не надо!!!!!!
Спустя 13 минут, 45 секунд (29.01.2012 - 12:16) inpost написал(а):
Deert
А ты поищи, где находится индикатор того, какая сессия кому принадлежит. Как сервер определяет, что тебе надо дать сессию с номером 1, а не с номером 2
А ты поищи, где находится индикатор того, какая сессия кому принадлежит. Как сервер определяет, что тебе надо дать сессию с номером 1, а не с номером 2
Спустя 1 час, 13 минут, 58 секунд (29.01.2012 - 13:30) Guest написал(а):
Цитата (Deert @ 29.01.2012 - 09:02) |
если не хочешь быть взломаным или еще хуже полностью с обрушенный проэктом который ты делал много-много времени то использовать куки не надо!!!!!! |
Утверждение, которое совершенно не соответствует действительности.