Авторизация

Статус
В этой теме нельзя размещать новые ответы.

little indian

Новичок
приветы
что делать, когда кука с хешем ушла к плохому парню, а жертва с ним в одной сетке за НАТом (free wi-fi, например) ?
 

WMix

герр M:)ller
Партнер клуба
Параметром из GET, user-agent, и другой доступной информацией, есть готовые библиотечки для этого
 

little indian

Новичок
нет, каким параметром
речь про хеш-куку, которая позволяет по сайту ходить авторизованным
как отличить комп буратины от компа хакера, если эту куку увели и IP у них одинаковый?
UA голыми руками ставится ))
 

WMix

герр M:)ller
Партнер клуба
Я же написал, в сессии запиши параметры user-agent и любую другую информацию о клиенте, включая версию плагинов, таким образом просто session_id которая в куке сама по себе недостаточная информация, должно совпадать все.
 

MiksIr

miksir@home:~$
нет, каким параметром
речь про хеш-куку, которая позволяет по сайту ходить авторизованным
как отличить комп буратины от компа хакера, если эту куку увели и IP у них одинаковый?
UA голыми руками ставится ))
Никак.
 

fixxxer

К.О.
Партнер клуба
Нет, он не об этом говорит. Ты услышал одно слово, а остальные не понял.
 

AnrDaemon

Продвинутый новичок
хмм, он говорит, что теперь можно заНАТовский real_ip вытаскивать?
https://youtu.be/lrWUcKTztmI?t=2m55s
Нет, если ты про stream{}. Он умеет ОТПРАВЛЯТЬ на бэк адрес пришедшего клиента. Если протокол это позволяет.
а ты здесь местный счетовод, кто сколько слов понял/не понял. почётный тролль ))
А ты, похоже, напрашиваешься…
 

little indian

Новичок
Нет, если ты про stream{}. Он умеет ОТПРАВЛЯТЬ на бэк адрес пришедшего клиента. Если протокол это позволяет.
там про замену адреса идёт речь
доки намекают, что можно якобы без ната работать совсем
но к авторизации это отношения не имеет (

А ты, похоже, напрашиваешься…
ахаха, вы чё в клоунов решили по очереди переодеваться, разговаривайте нормально
один пытается самоутвердиться за счёт унижений, другой угрожает )))
детский садик закрывается, открывается канал культура
 

fixxxer

К.О.
Партнер клуба
Погугли по browser fingerprint.
Так обычно никто на практике не делает, потому что браузеры у пользователей постоянно обновляются, новые плагины-шрифты устанавливаются, разрешение экрана меняется (подключил-отключил внешний монитор к ноуту) итд, и пользователи будут недовольны, что постоянно надо заново вводить пароль. Ну и подделать это все не проблема при желании.
Но если что-то прямо важное, типа доступа к счету в интернет-банке, то вполне себе способ усложнить задачу несанкционированного доступа.

UPD: хотя чего тебе объяснять, ты невменяемый какой-то :)
 

little indian

Новичок
а у тебя детская привычка унижать незнакомых людей в Интернете. У всех свои недостатки ))

про фингерпринты читал
но это же всё на JS. На JS я и сам могу насобирать данных, шифрануть и кинуть строчкой
только буратине это не поможет (
в общем
 

AnrDaemon

Продвинутый новичок
Унижаете пока что вы сами себя. Смотретьчитать противно.
 

little indian

Новичок
Естественно, это сработает только в условиях, когда куку сперли, а фингерпринт не сперли.
чтобы фингерпринт в пхп передать тоже ведь кука нужна в моём случае...

Унижаете пока что вы сами себя. Смотретьчитать противно.
так это из-за раздвоения личности у тебя ))
Нет, если ты про stream{}.
А ты, похоже, напрашиваешься…
Унижаете пока что вы сами себя.
 

fixxxer

К.О.
Партнер клуба
На js можно сделать что угодно. Хоть вообще всю навигацию через XHR и HTML5 history.
 

little indian

Новичок
На js можно сделать что угодно. Хоть вообще всю навигацию через XHR и HTML5 history.
в память нельзя писать ))
у меня на XHR 2 CRM написано.
а как мне это поможет по сайту авторизованным ходить?
хм, ну технически, если хакер с чужой кукой лазит по сайту, его где-то можно и чекнуть на правильный фингерпринт, типа ловушку устроить...

но вообще социалки так не заморачиваются, у банков сессии тупо короткие (15 мин) и подтверждения всех действий по смс
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху