Zabezpieczenie strony Opcje

[marcinpruciak]

Stworzyłem portal aukcyjny typu podbij.pl.
Mam wątpliwości co do jego zabezpieczeń.
Chodzi mi o wyciek danych osobowych. W jaki sposób się przed tym zabezpieczyć.
Teraz sprawdzam tylko czy użytkownik który licytuje przez ajax jest tym samym użytkownikiem i czy jest zalogowany, żeby nie dało się wysłać licytacji z obcym id użytkownika.
Przed sql injection zabezpiecza już framework Kohana.
Adres strony: http://www.alleklik.pl
Testowy użytkownik: login: test hasło: test
Prosiłbym o przejrzenie i znalezienie błędów.

Ten post edytował marcinpruciak 1.10.2010, 12:20:43

[smagul]

zrób sobie tabelkę z dwiema kolumnami: 'kod', 'user':
gdy user się loguje to wpisujesz go to tabeli i generujesz jakiś kod sobie tylko znanymi metodami. Przy pomocy kodu kodujesz kolejny kod i wysyłasz jako trzecia zmienna obok usera i id_produktu. Przy czym pierwszego kodu nigdzie nie zapisuj u użytkownika tylko ten ostateczny drugi kod.
Z drugiej strony wyszukujesz z tabeli kod po userze. kodujesz go dokładnie tak samo jak z tamtej strony i porównujesz z tym co dostałeś. Jeśli takie same to dokonujesz akcji, jeśli nie to znaczy że coś nie tak.

Nie wiem czy zrozumiałe, ale zdecydowanie trudniejsze do złamania niż wysyłanie tylko namiarów na usera i produkt.

I jeszcze nie wiem po ilu minutach zrobiłeś automatyczne wylogowanie, ale można też sprawdzać czy użytkownik licytujący jest zalogowany...

Ten post edytował smagul 1.10.2010, 13:23:21

[marcinpruciak]

Mam już podobny sposób. Tylko z tym automatycznym wylogowaniem muszę sprawdzić dokładnie.

Bardziej mi chodzi o zabezpieczenie przed wyciekiem danych osobowych użytkowników. W jaki sposób mogą one wyciec i jak się przed tym zabezpieczyc.

[lord2105]

SSL