Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion

Показано с 1 по 3 из 3
  1. #1
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Online
    Регистрация
    27.07.2013
    Сообщений
    1,440
    Репутация
    159 + / -
    Безопасность

    Защита сайта от кражи авторизационной cookie

    [Только зарегистрированные могут видеть это. ]

    Обнаружил, на мой взгляд, отличный способ защиты сайта от кражи авторизационной куки. Уверен, идея не нова и не оригинальна, но я раньше с ней не сталкивался, и самому такое в голову не приходило.

    Вариант алгоритма:
    После успешной авторизации устанавливаем такие куки:
    uid = <идентификатор пользователя>
    pass = md5(<пароль пользователя> + <IP-адрес пользователя>)
    При проверке куки, по идентификатору пользователя получаем его пароль, добавляем текущий IP-адрес, берем md5 от полученной конкатенации и сравниваем с кукой pass.

    Можно не волноваться, если у вас уведут авторизационные куки, злоумышленник не сможет ими воспользоваться с отличного от вашего IP-адреса. Предлагаю всем, кто, как и я, раньше не использовал такой способ, начать его использовать. Сделаем сайты чуточку безопаснее.


    ©хабр
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  2. #2
    Lord
    of the two universes
    Аватар для •Lexx•

    Статус
    Offline
    Регистрация
    24.10.2013
    Сообщений
    296
    Репутация
    167 + / -
    Другое
    Эммм..
    А разве на основных популярных движках по дефолту, сессия не привязывается к ипу ?
    Мудрый знает не многое, а нужное (с) Эсхил.
    «
    Это планета 13-го типа. Такие уничтожают сами себя, путем внутреннего военного конфликта, экологической катастрофы, но чаще всего — когда их ученые пытаются определить массу бозона Хиггса
    »
    — 790 про Землю.

  3. #3
    Аватар для patrik

    Статус
    Offline
    Регистрация
    02.11.2013
    Сообщений
    112
    Репутация
    38 + / -
    Другое
    т.е. если динамический ип каждый раз вводить пасс? как-то не удобно это имхо...

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.