PHP i Cooki-ji
Prikazujem rezultate 1 do 2 od 2

Tema: PHP i Cooki-ji

  1. #1
    Početnik
    Učlanjen
    03.05.2007.
    Poruke
    7
    Reputaciona moć
    0

    Podrazumevano PHP i Cooki-ji

    Mozda ce neko reci da je tema vise za Web, ali po meni ovo je cisto programerska stvar...


    Znate na sajtovima koji podrzavaju user-e onaj mali checkbox "Stay Logged In" ,
    ili na srpskom "Zapamti me na ovom racunaru"

    Kapiram je jedini nacin da se user-name i password nekako sacuvaju u cooki-ju
    (trajnom, naravno), ako je ovaj checkbox checkiran (ispravite me ako gresim)

    Dalje, normalno je da necu cuvati user name i pass u plain text-u, vec nekako
    kriptovan, naravno.

    E sad, mene interesuje da li postoji zastita od sledeceg napada :

    Sta ako ja prekopiram cookije sa necijeg racunara na moj, ili
    podesim ga na iste vrednosti ( ako je razlicit format cooki-ja)?
    Gotovo sigurno ce se bez problema logovati na site i sa racunara na
    koji sam prekopirao cooki-je.
    Za sad imam ideju samo za zastitu ako su razlicitt browser-i u pitanju,
    tj da iz PHP cuavm u cookiju i informaciju o browser-u
    ( $_SERVER['HTTP_USER_AGENT'] )
    Ali sta ako potencijalni napadac prekopira cookije za isti brauzer?
    Ima li nekakva zastita od toga ?



  2. #2
    Peruzzi nije na forumu
    је дошао тихо и ушао у легенду...
    Domaćin Peruzzi (avatar)
    Učlanjen
    03.08.2003.
    Pol
    muški
    Lokacija
    Shumadija
    Poruke
    3.924
    Reputaciona moć
    92

    Podrazumevano Re: PHP i Cooki-ji

    ima, i to vrlo efikasno - kad koristis "javni" racunar kliknes na Log Out i obirse se cookie...

    uradi meanizam promene sifre, da korisnik uvek moze da trazi promenu sifre, gde mu generises novu i saljes na mail kojim se registrovao, i npr. listing aktivnosti usera, tako da vidi kad je sve bio aktivan pa da moze da primeti ako mu je neko drpio id.

    u svakom slucaju, ono sto treba da sprecis je kradja profila promenom sifre, i to na nacin koji sam napisao iznad.

    ono sto si ti hteo je da pokupis neki identifikacioni broj racunara, ne verujem da browser ima pristup tome


Oznake

Pravila za slanje poruka

  • Ne možete kreirati novu temu
  • Ne možete poslati odgovor
  • Ne možete dodati priloge
  • Ne možete prepraviti svoju poruku
  •