Меню
Что нового?

Можно ли взломать авторизацию по куки?

Crazy

Crazy

Developer
Автор оригинала: Kelkos
Хм.. В куках обычно и держат id и md5 пароля.. но вход в админку НИКОГДА не предоставляют по этим данным..
Нажмите для раскрытия...
А нахрена они тогда -- эти самые "id и md5 пароля"? Чисто из спортивного интереса при каждом запросе бегают между сервером и клиентом при каждом запросе? :)
 

Kelkos

Сам себе программер
Crazy
Есть такая фишка "Запомнить пользователя".. хех.. Всё до элементарного просто.. Что бы узнать что это именно тот пользователь, за которого он себя выдаёт по id в куках проверяем его хэш пароля из куков.. И если на указанном id действительно такой хэш, значит пользователь именно тот, за кого он себя выдаёт.
Ну и весят эти md5 и id не так уж и много, что бы серьёзно горевать по поводу их "беготни" между клиентов и сервером.
----------------------------
Crazy, мы немного друг друга не поняли.. хм.. я имел ввиду первый пост автора, в котором он боялся, что подменив куки кто то влезет в модераторский раздел.
 

Gas

может по одной?
То фишка "Запомнить пользователя" работать не будет и ничего с этим не поделаешь.
 
Войдите или зарегистрируйтесь для ответа.
Сверху