-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Класс для работы с сессиями
- Автор темы Василий М.
- Дата начала
MiksIr
miksir@home:~$
>Айдишник на время реквеста приложения в тот же запрос из базы тащишь по токену?
Э... а?
Из базы я тяну юзера по User_ID который в куках. Причем этот User_ID даже в токен не подмешан, ибо подмешан его пароль. Ну да... юзера с одним юзерагентом и одним IP и одним паролем (с одинаковой, блин, солью) смогут друг-друга подменить Но из-за соли такое не случится.
Э... а?
Из базы я тяну юзера по User_ID который в куках. Причем этот User_ID даже в токен не подмешан, ибо подмешан его пароль. Ну да... юзера с одним юзерагентом и одним IP и одним паролем (с одинаковой, блин, солью) смогут друг-друга подменить Но из-за соли такое не случится.MiksIr
miksir@home:~$
Соль у каждого пароля разная. Т.е. один и тот же пароль - разная строка из-за разной соли. Я же подмешиваю в токен не оригинальный пароль пользователя, а хешированный. Т.е. у двух пользователей со всеми одинаковыми данными все-равно хешированная строка пароля будет разная, а значит и итоговые токены разные.
MiksIr
miksir@home:~$
Вспомнил. На самом деле тут была с год или два назад такая тема, там был чувак такой... в общем, он утверждал, что сессия - единственная защита от csrf. Я сейчас генерю токен по тому же принципу, как и для авторизации и кладу его как скрытое поле в форму, ну и при получении формы проверяю. Yii, к примеру, защиту от csrf делает похоже, но токен сажает в куку... думаю, в основном из-за удобства и универсальности использования.
Так вот тот чел утверждал, что подобная система ломается и этот токен вытаскивается с исходной страницы. Каким образом, к сожалению, объяснить не смог - сослался на великую хакерскую тайну.
Так вот тот чел утверждал, что подобная система ломается и этот токен вытаскивается с исходной страницы. Каким образом, к сожалению, объяснить не смог - сослался на великую хакерскую тайну.