Lehetséges egy weboldalhoz cookie-t létrehozni az oldal forráskódjának szerkesztése nélkül?
Igen, megteheti elég könnyedén.
SOHA ne tárolj érzékeny adatokat, főleg ne jelszót egy sütiben.
Ja igen, már csak azért se, mert ha nem is módosítja valaki, az összes süti a HTTP header-ben utazik, amit bárki egy publikus wifin vagy bármilyen nyílt hálózaton vígan tud olvasni.
(HTTPS gondolom nem lesz.)
Megoldottam: csak a name van bekódolva cookien és érzékeli az ip változást, akkor újrabejelentkezést kér.
Egyébként kérdés: pl. facebook hogyan tart bejelentkezve? Mert szerintem csak az ip és cookie az a két lehetőség, amiről tudok.
Nem, ez sem jó.
Egy NAT-olt LAN-on kifelé ugyan azok az IP-k.
Úgy, hogy SESSION-t használnak.
Ez a sütiben csak 1 db random generált azonosítót raktároz el, minden adatot kizárólag a szerver oldalon tárol.
Itt is fenn áll a lehetőség a session id ellopására, de erre is bejöhet a böngésző azonosító és IP vizsgálat.
Nem 100%-os módszer, de ezerszer biztonságosabb.
(Nem közösségi oldal lesz, és még csak nem is komoly, gyakorlás php-ból és mysql-ből, [link] kommenteket még ne nézd, a többi működik, e-mailt ne várj, [link] ezt használd account validationhoz.)
Egyébként valószínűleg az lesz, hogy marad így, ahogy van. Ha majd egyszer olyan oldalt csinálok, ahol számít (pl. webshop, fórum), akkor ott majd megcsinálom úgy, hogy ne lehessen lopkodni az accountot. Amúgy pedig egyik barátom szeret hackerkedni, szerencsére nem tudja, hogy php-val hogyan lehetne betörni az oldalam admin felületére, de egy óra szenvedés után sem sikerült neki az általam megadott név és módszerleírások mellett sem tudott bejelentkezni bele, szóval jeeee!
Egen, de manapság a hacker kifejezés eléggé elferdült, mert aki be akar törnie gy fiókba, azt az emberek hajlamosak annak hívni. Ugyanakkor megjegyzem, hogy sikerült feltörnöm a saját admin fiókom, egy kis kódgenerátorral, szóval egy kicsit biztonságosabb jelszó kell nekem :D
Mellesel rájöttem, hogy a CrossSiteScripting ellen sem védekeztem rendesen. És találtam egy webshopot (csak úgy funból) ahol viszont szintén nem gondoltak rá, úgyhogy elkezdtem menő jquery animációt rakni mindenre, felveszem, és elküldöm majd nekik :D De semmi rosszindulatúság ;D
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!