Меню
Что нового?

Димуш и куки

Dimush

Guest
>сессия хранится в открытом виде, по умолчанию в каталоге, доступном любому юзеру компьютера.
В этом случае авторизация с помощью сессий полностью абсурдна.
>все говорят - оставьте, но никто не говорит - зачем :)
Можно будет различить user изменившего пароль минуту назад, от user со старым паролем.

>который бы переделывал авторизацию с сессий на куки.
…а чем, собственно говоря, тебе куки не угодили?
 
Wicked

Wicked

Новичок
>>сессия хранится в открытом виде, по умолчанию в каталоге, доступном любому юзеру компьютера.

>В этом случае авторизация с помощью сессий полностью абсурдна.

нет... ты про криптографию слышал? при ее использовании даже с правом на чтение и запись в сессии (но без знания секретного ключа, который, например, прошит в скрипте) ты не сможешь ничего взломать. И я как раз за грамотное использование таких методов защиты.

>>который бы переделывал авторизацию с сессий на куки.

>…а чем, собственно говоря, тебе куки не угодили?

а их все браузеры поддерживают?
 

Gas

может по одной?
Wicked
речь не о том чтобы взломать, а о том чтоб выдать себя за другого.

Dimush
имхо, не всё так просто как тебе кажется.
И изменить место хранения сессий минутное дело.
 

Dimush

Guest
ты про криптографию слышал?
Нажмите для раскрытия...
сегодня экзамен сдал.
не сможешь ничего взломать
Нажмите для раскрытия...
а зачем ломать, смотри папку и подставляй SID в свои url
а их все браузеры поддерживают?
Нажмите для раскрытия...
браузеры порядочных пользователей, поддерживают.

-~{}~ 25.01.05 19:00:

И изменить место хранения сессий минутное дело.
Нажмите для раскрытия...
Само собой, но это уже к нашему допущению отношения не имеет.

-~{}~ 25.01.05 19:03:

не всё так просто как тебе кажется.
Нажмите для раскрытия...
просто только с виртуальным шлемом и такими же перчатками, которые позволяют открывать двери от сервера, в американских фильмах про хакеров - если я тебя верно понял.
 
Wicked

Wicked

Новичок
я под взломом и подразумевал получение несанкционированного доступа
 

Gas

может по одной?
Dimush
На сервере может хостится _много_ проектов.
Иногда в сессии хранят md5(user_agent + ip), к тому же выставляют expire_time - это немного затрудняет задачу.
 
Wicked

Wicked

Новичок
угу... еще в md5() можно дописать SID, user_id и salt...

-~{}~ 25.01.05 19:11:

PS: естественно, что абсолютной защиты не существует :) а то щас посыпятся посты "а что если злоумышленник знает логин, пароль, и логинится с тачки легального юзера" :)
 
Wicked

Wicked

Новичок
народ... если говорить более глобально, я оцениваю сложность задачи получения неавторизованного доступа как сложность задачи подделывания цифровой подписи набора параметров, достаточных для идентификации изера.

ясно, что злоумышленник может идти и с того же ip, и подделать user_agent, и заполучить sid, и т.д. и т.п., но в моем случае он не сможет заполучить доступ, если хоть один из этих параметров другой - он не сможет заставить систему думать, что неверный набор параметров на самом деле верный. А если набор параметров совпадает полностью - то тут мы просто вынуждены признать, что это легальный юзер...
 

Dimush

Guest
ну да, по поводу "не вижу проблемы" сказал на автопилоте, т.к. пишу открытую CMS, где криптография и различный md5(всякий бред + различные динамические параметры) действительно не проблема для взломщика, даже со всякими крипто алгоритмами(Wicked, разьве одной md5 не достаточно? в чем смысл дополнительных криптоалгоритмов).
А в случае нормального хостинга это все совершенно лишние палки в колеса момеда диалапщика, потому как у этих товарищей ip могут меняться в течении очень короткого периода времени... или может скажете, что карма у них такая... мучаться :)))... кстати якобы ради чего от авторизации на куках отказались?
 
Wicked

Wicked

Новичок
1) а где я говорил, что ее (md5) недостаточно?

2) дак мы о чем говорим, о секьюрити или об удобстве диалапщиков?

-~{}~ 25.01.05 22:43:

а еще у меня возникло ощущение, что сдать экзамен по криптографии и разбираться в криптографии - это не обязательно взаимосвязанные вещи :)
 

Dimush

Guest
а еще у меня возникло ощущение
Нажмите для раскрытия...
Возможно, потому как не смотря на все старания, не могу уловить связи между, секретным ключом зашитым в скрипте и однонаправленным алгоритмом хэширования, пожалуй действительно что-то упустил.

дак мы о чем говорим, о секьюрити или об удобстве диалапщиков?
Нажмите для раскрытия...
...угу согласен, тему оторвали, насколько помню изначально тут обсуждалась разработка системы аутентификации для web приложений, со всеми вытекающими требованиями.
 
Wicked

Wicked

Новичок
не надо передергивать... когда я говорил про "секретный ключ", я имел в виду криптографические методы вцелом.

а для простейшей цифровой подписи с использованием хэширования - нужен именно salt. Не зная salt - практически нельзя подделать цифровую подпись. А уж где этот salt хранить - другой вопрос.

PS: о диалапщиках:
если говорить более глобально, я оцениваю сложность задачи получения неавторизованного доступа как сложность задачи подделывания цифровой подписи набора параметров, достаточных для идентификации юзера.
Нажмите для раскрытия...
Dimush, если уж тебе так хочется позаботиться о диалапщиках, то ты можешь просто исключить IP из набора параметров, однозначно идентифицирующих залогиненного юзера. Что тебе не нравится то?
 

Dimush

Guest
просто у меня возникло ощущение, что ты кодируешь всю инфу с которой работаешь с помощью собственного двунаправленного криптоалгоритма, что на самом деле очень интересно, однако непонятно, что ты этим хочешь добиться, поэтому и переспросил.

Что тебе не нравится то?
Нажмите для раскрытия...
На мой взгляд, откровенная дутость проблемы, во первых как уже говорили выше, изменить место хранения сессий не проблема, а если и это не поможет, то это уже программиста не касается. Поэтому:
если говорить более глобально, я оцениваю сложность задачи получения неавторизованного доступа как сложность задачи подделывания цифровой подписи набора параметров, достаточных для идентификации юзера.
Нажмите для раскрытия...
это лишнее.
 
Войдите или зарегистрируйтесь для ответа.
Сверху