 sesje, cookies czy przez url? |
| sesje, cookies czy przez url? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%) 
 |
ostatnio duzo myslalem o sesjach i tak sie zastanawialem, ktory sposob przekazywania zmiennych jest lepszy: przez cookies czy przez przekazywanie id sesji w adresie (url). jak wiadomo w tej pierwszej metodzie problem pojawia się gdy ktoś ma wyłączoną obsługę cookies, w tej drugiej gdy ktoś da adres strony (a w nim tez id) znajomemu. standardowe polaczenie tych dwoch metod nie likwiduje problemu drugiego. osobiscie mysle, ze stanowi to dosyc duza dziure w sytsemie i zastanawialem sie czy po prostu nie wymuszac na uzytkownikach wlaczania cookies (z jasnym wytlumaczeniem w jakim celu). co o tym sadzicie?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 53 Pomógł: 0 Dołączył: 16.11.2004 Ostrzeżenie: (0%)
|
Cytat Co do man-in-the-middle dla SSL, przypomina mi się artykuł o błędzie w MSIE umożliwiający taki atak. Chociaż AFAIK zawsze można dotrzeć do winnego przez certyfikat - jeżeli klient raczy sprawdzić certyfikat który wysłał mu man-in-the-middle. Tak jest w teorii. W praktyce jednak malo kto przejmuje sie ostrzezeniem SSLa o nieoczekiwanej zmianie certyfikatu lub o niemoznosci potwierdzenia certyfikatu. To drugie wystepuje bardzo czesto, bo wiele serwisow usywa "samopodpisanych" (jak to przetlumaczyc: self-signed?) certyfikatow. A taki falszywy certyfikat nie musi zawierac zadnych prawdziwych danych, wiec dojsc do autora moze byc trudno. Predzej ustali sie atakujacego przez analize czynnosci, ktorych musial dokonac, zeby w ogole stac sie "man-in-the-middle" czyli np. jakis DNS-spoofing, wlam na router/gatway czy cos. Niemniej przeprowadzenie takiego ataku jest duzo trudniejsze niz wykorzystanie glupiej dziury w Apache'u lub cudzym skrypcie php i wykradzenie session-id z niczym nie chronionego katalogu /tmp, gdzie php je trzyma (jesli uzywa sie domyslnej obslugi sesji). Ten post edytował Krolik 9.12.2004, 12:17:46 |
|
|
|
sopel sesje, cookies czy przez url? 24.06.2004, 10:24:43 
hwao Możesz zrobic wlasne 'zabezpieczenia' wyst... 24.06.2004, 11:57:51 sopel sprawdzanie przeglądarki może być pewnym rozwiązan... 24.06.2004, 17:46:42 kicaj Najlepsze rozwiazanie podal hwao - link do artykuł... 24.06.2004, 18:06:52 sopel artykul znam dobrze, ale nie on jest przedmiotem t... 24.06.2004, 18:23:38 mateusch Cytat(sopel @ 2004-06-24 17:46:42)co do kontr... 21.10.2004, 20:06:29 sopel Cytat(mateusch @ 2004-10-21 20:06:29)tzw ... 21.10.2004, 22:15:49 hawk Cytat(mateusch @ 2004-10-21 20:06:29)tzw ... 22.10.2004, 08:15:30 sopel Cytat(hawk @ 2004-10-22 08:15:30)IP jest zmie... 22.10.2004, 09:46:40 MoD A jak nie wywalisz prośby o ponowne zalogowanie i ... 30.10.2004, 15:24:33 sopel Cytat(MoD @ 2004-10-30 15:24:33)A jak nie wyw... 21.11.2004, 13:36:11 poligon Cytat(sopel @ 2004-11-21 12:36:11)Cytat(MoD ... 21.11.2004, 14:13:27 sopel Cytat(poligon @ 2004-11-21 14:13:27)Cytat(sop... 21.11.2004, 14:49:46 MoD Cytat(sopel @ 2004-11-21 15:49:46)Cytat(polig... 21.11.2004, 15:55:37 sopel ale czy jak ktos spedza na stronie np. godzine (w ... 21.11.2004, 16:15:47 Krolik Niedogodnosc moze byc duza, bo niektorzy userzy ma... 7.12.2004, 11:43:23 hawk Co do proxy, to podobno jest jakiś nagłówek X_FORW... 7.12.2004, 16:38:40 bela_666 @hawk taki nagłówek istnieje i mi pokazuje moje we... 7.12.2004, 18:35:13  |
|
Aktualny czas: 5.10.2025 - 13:21 |
