Меню
Что нового?

Защита данных авторизированного пользователя

Dor

Новичок
Защита данных авторизированного пользователя

При авторизации (попробовал написать "аут...ции" - но понял, что попаду в коллекцию :)),построенной на сессиях или Basic Auth (что наверное почти одно и тоже?), пользователь, не закрывший окно браузера, а перешедший на другой сервер по закладке или ссылке, таскает с собой в заголовках данные авторизации.

То есть, таким образом можно у него украсть эти параметры, например, разместив ссылку на скрипт в форуме, и войти затем в этот же форум зарегистрированным пользователем.

Вопрос: какие существуют способы защиты?
 

kruglov

Новичок
Dor
Пользователь не таскает на другие сервера данные авторизации. В ЦК не дураки сидят. Зачем браузеру посылать другим сайтам пароли от вашего?
 

Dor

Новичок
Тогда не пойму в чем дело - весь вечер экспериментировал. Авторизируюсь через Basic Auth потом в этом же окне открываю другие ресурсы на балду, возвращаюсь без проблем, то есть без окна запроса. Смотрю заголовки HTTP при всех переходах - данные там сидят. То же самое и с форумами. :-(
 

Anton.S

Новичок
Dor
Ну да, если это кукисы, они и будут сидеть пока не закроешь браузер.
 

Dor

Новичок
Сидеть то будут, но не отдаваться же первому встречному.
 
Andreika

Andreika

"PHP for nubies" reader
Dor
а они не отдаются первому встречному... максимум что можно узнать это из рефера получить ?PHPSESSID=... если сессия не в кукисах хранится. если у тебя чего-то там передается, то значит ты чего-то не так проверяешь
 
Crazy

Crazy

Developer
Автор оригинала: Dor
Смотрю заголовки HTTP при всех переходах - данные там сидят. То же самое и с форумами. :-(
Нажмите для раскрытия...
Ok. Приведи полный набор заголовков при обращении к своему ресурсу (после того, как авторизовался), и, после этого, к чужому.
 

alexhemp

Новичок
Dor

Данные Basic/Digest авторизации кэшируются браузером до его закрытия.

Если ты в одном окне авторизовался, ушел на другой сайт, потом в этом-же окне вернулся - то заголовок с логином-паролем будет передан снова. В общем не мучайся, там все сделано по уму.

Была давно бага в IE - если использовать передачу логина пароля в URL в виде "http://login:p[email protected]" то логин-пароль могли быть переданы в Referrer.

Теперь такой способ передачи пароля IE6 просто не поддерживает (после сервис-паков и патчей), насчет предыдущих версий не знаю.
 

Dor

Новичок
Уф, тяжко признаваться - прошу извинить - дико наверное звучит, но читал только верхние сообщения ieHTTPheaders - а что новые дописываются снизу, только что допер. Т.е. читал постоянно одни и те же заголовки (при авторизации)

Спасибо за помощь!
 
Andreika

Andreika

"PHP for nubies" reader
оффтопик
alexhemp
насчет рефера не знаю, но такой способ передачи пароля ие6сп2+сентярьскиефиксы поддерживает )
 
Войдите или зарегистрируйтесь для ответа.
Сверху