+ Ответить в теме
Страница 1 из 2
1 2 ПоследняяПоследняя
Показано с 1 по 10 из 11

Тема: Передача пароля странице через URL

  1. #1

    По умолчанию Передача пароля странице через URL

    Опасно ли передавать пароль через URL, типа url.php?pass=x, если страницу с этим паролем загружаю только я. :?:
    Если - да, то в чём может быть риск?
    Какова тогда альтернативная методика передачи паролей?

    Вопрос возник на основании ответа модератора liveinternet:
    А вообще паролей не должно быть в URL. Это ваша серьезная
    ошибка, URL может быть доступен в сотнях разных мест, а не
    только в статистике счетчика.
    [url]http://www.wolf-ware.ru[/url] - архив бесплатных программ

  2. По умолчанию

     
    Хотите избавиться от рекламы? Зарегистрируйтесь
  3. #2
    Moderator Куратор
    system architect
    Absurd is on a distinguished road
    Регистрация
    26.02.2004
    Адрес
    Pietari, Venäjä
    Возраст
    38
    Сообщений
    1,213
    Вес репутации
    17

    По умолчанию

    URL обычно можно как-то сосниффить.

    Поэтому грамотные люди юзают сессии.
    Начинаешь сессию с session_start();
    после этого сохраняешь пароль в $_SESSION['pass']

    Cессии используют session_id , который передается с каждым запросом.
    session_id тоже можно сосниффить.
    Поэтому в сессии надо сохранять IP адрес, откуда пришел запрос, и потом проверять, что запрос идет именно от той машины,
    которой ты выдал сессию.
    $_SESSION['remote_ip']=$_SERVER['REMOTE_ADDR'];
    А также
    $_SESSION['remote_inner_ip']=$_SERVER['X_FORWARDED_FOR'];
    2B OR NOT(2B) = FF

  4. #3
    developer Hup is on a distinguished road
    Регистрация
    05.03.2004
    Адрес
    Владивосток
    Сообщений
    207
    Вес репутации
    15

    По умолчанию

    Можно еще прикрутить md5, чтобы уж наверняка =)))
    Но со сниффингом как-то все неинтересно. Кстати как он вообще осуществляется? Я никому не хочу навредить, просто на носу проект, где нужно бороться с подобной гадостью...
    Вот, Absurd, уже предложил один способ решения, а как быть, если не привязываться к IP? SSL?
    Усложнять - легко, упрощать - сложно

  5. #4
    Moderator Куратор
    system architect
    Absurd is on a distinguished road
    Регистрация
    26.02.2004
    Адрес
    Pietari, Venäjä
    Возраст
    38
    Сообщений
    1,213
    Вес репутации
    17

    По умолчанию

    Если есть возможность вставлять картинки на атакуемый ресурс и есть доступ к хостингу со скриптами, то элементарно.
    Пишешь скрипт, который сохраняет в лог все поля запроса, а в ответ отправляет пользователю gif-файл, содержащий один пиксель прозрачного цвета.
    Если возможности вставлять картинки нет, то все равно чего-то можно сообразить в части случаев.
    2B OR NOT(2B) = FF

  6. #5
    developer Hup is on a distinguished road
    Регистрация
    05.03.2004
    Адрес
    Владивосток
    Сообщений
    207
    Вес репутации
    15

    По умолчанию

    Absurd, данные выдать за картинку? И что это даст? Что-то толком не вьеду
    Усложнять - легко, упрощать - сложно

  7. #6

    По умолчанию

    Цитата: "Поэтому грамотные люди юзают сессии."

    А что если просто использовать cookies?
    [url]http://www.wolf-ware.ru[/url] - архив бесплатных программ

  8. #7
    Moderator Куратор
    system architect
    Absurd is on a distinguished road
    Регистрация
    26.02.2004
    Адрес
    Pietari, Venäjä
    Возраст
    38
    Сообщений
    1,213
    Вес репутации
    17

    По умолчанию

    Напиши скрипт на мазафака перле, который сохраняет в лог *весь* запрос от пользователя
    и в ответ отправляет такую фиговину:

    HTTP/1.0 200[cr/lf]
    Content-Length: [длина того что лежит после пустой строки в октетах][cr/lf]
    Content-Type: image/gif[cr/lf]
    [пустая строка][cr/lf]
    [Гиф файл с пикселем прозрачного цвета.]

    После этого
    1) Воткни его на страницу в [img]куда ты положил скрипт[/img]
    2) Зайди на эту страницу.
    3) Посмотри, чего лежит в логе.
    2B OR NOT(2B) = FF

  9. #8
    Moderator Куратор
    system architect
    Absurd is on a distinguished road
    Регистрация
    26.02.2004
    Адрес
    Pietari, Venäjä
    Возраст
    38
    Сообщений
    1,213
    Вес репутации
    17

    По умолчанию

    А что если просто использовать cookies?
    Сессии обычно реализованы через кукизы (зависит от настроек PHP). Только ими пользоваться легче.
    2B OR NOT(2B) = FF

  10. #9
    Administrator Админ
    system architect
    AiK is on a distinguished road Аватар для AiK
    Регистрация
    13.02.2004
    Адрес
    СПб
    Сообщений
    2,297
    Вес репутации
    80

    По умолчанию

    Кстати как он вообще осуществляется?
    Не вдаваясь в подробности: берёшь сниффер и ловишь все TCP/IP пакеты
    Бороться с этим можно только применяя VPN соединение, при котором все пакеты шифруются.
    В противном случае, как бы ты не изгалялся, существует возможность, что тебя поимеют. Как вариант - SSL соединение с отдельно взятым сервером. Ты кстати, зря его боишься - тебе только нужно сертификат на сервере установить, а дальше связка браузер - сервер будут выполнять за тебя всю работу, т.е. дополнительно программировать ничего не придётся.

    Что же касается передачи пароля через URL, то это неприятно потому, что запрос много где будет отсечивать - начиная с лога у провайдера, и заканчивая логами всевозможных маршрутизаторов, доступ к которым при желании получить можно.
    Даже самый дурацкий замысел можно воплотить мастерски

  11. #10

    По умолчанию

    а насколько опасна передача данных через форму/POST?
    [url]http://www.wolf-ware.ru[/url] - архив бесплатных программ

+ Ответить в теме
Страница 1 из 2
1 2 ПоследняяПоследняя

Похожие темы

  1. Передача файла через контекстное меню
    Значит, добавил в контекстное меню строчку по аналогии: http://whatis.ru/reg/reg_n12.shtml Как теперь сделать, что-бы путь к файлу и его имя...
    от mincha в разделе Delphi и Pascal
  2. Печать суммы на первой странице (excel)
    Подскажите пожалуйста. Есть бланк строго определенной формы (таблица в excel) и куча данных которые нужно запихать в этот бланк. В конце бланка в...
    от Boltan в разделе MS Office и VB(A).
  3. Передача данных через инет
    Такая проблема. Нужно передавать данные между 2мя компами соедененными с инетом. с сетями никогда не работал. полный 0. нужно реализовать поиск...
    от HanRus в разделе Delphi и Pascal
  4. Как на web-странице сделать кнопку выхода из программы
    Как в wordе, при создании web-страницы, сделать кнопку выхода из программы (интернет-обозреватель Internet Explorer) в любом месте листа, использую...
    от dream в разделе MS Office и VB(A).
  5. Шрифты на WEB-странице
    На моем сайте используются определенные красивые шрифты. Недавно залез на свой сайт с компьютера приятеля и не узнал свой сайт. Все красивые...
    от interalex1 в разделе JScript, VBScript, DHTML...

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения