![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 38 Pomógł: 0 Dołączył: 13.09.2007 Ostrzeżenie: (0%) ![]() ![]() |
Witam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Zrobilem sobie najprostszy mozliwy token.. Robie sobie losowanie liczby od 1000 do 9999 i zapisuje do zmiennej.. Uzytkownik ma ten kod ze zmiennej przepisac do formularza.. I wtedy porownuje czy obie liczby sa takie same.. Mam tylko pytanie czy taki banalny token jest bezpieczny.. ? Czy robot moze jakos to ominac, odczytac co wylosowalem lub cos takiego ? Nie znam sie na tego typu zabezpieczeniach dlatego pytam tutaj a chcialem ominac korzystanie z gotowych tokenow z netu.. Dla mnie wydaje to sie bezpieczne ale moze ktos mi wytknie czy cos moze jednak pojsc nie tak ? Z gory dziekuje za pomoc (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) PS. Czy token jest na tyle wystarczajacym zabezpieczeniem zeby odpuscic sobie aktywacje email ? Ten post edytował ArthaS_Delano 18.02.2008, 22:51:09 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza ![]() |
@potreb:
Twoje rozwiązanie jest tak proste co nieskuteczne. Czym się ono różni od "Wpisz kod: ABC123"? Wystarczy pobrać zawartość strony, odpowiednie wyrażenie regularne i token staje się kompletnie zbędny. Jedyne skuteczne rozwiązanie to generowanie obrazka z kodem. Tło obrazka powinno zawierać różne bazgroły (proste, krzywe, kropki itd), natomiast sama czcionka również nie powinna być standardowa. Dodatkowo należy pamiętać o zapamiętywaniu tokena w sesji, a nie w polu hidden (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) // EDIT: hehehe właśnie, ~kszychu okazał się bardziej konkretny (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował phpion 18.02.2008, 23:46:08 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 8.10.2025 - 10:35 |