Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > pl.comp.lang.php > #14911
| Newsgroups | pl.comp.lang.php |
|---|---|
| Date | 2015-09-28 01:06 -0700 |
| References | <1d538c8e-831f-4ed7-8c15-81e8738fbe68@googlegroups.com> |
| Message-ID | <8345c6da-d7e3-4991-9b96-0595834876e0@googlegroups.com> (permalink) |
| Subject | Re: Jak się zabezpieczyć przed skopiowaniem url |
| From | mwitkowski2b@gmail.com |
Rozumiem, że Pan Borys uważa wszystkich audytorów pracujących np. w bankach za idiotów, bo większość banków stosuje tego typu zabezpieczenie.
W ramach swojej strony nie przekazuję id sesji w URL, wszystkie dane są przekazywane metoda POST i są odpowiednio walidowane.
Stosowanie identyfikatora w COOKIE, po pozytywnym logowaniu nie wystarcza.
Poniżej prosty przykład na sprawdzenie tej tezy (plik index.php wywołuje plik dwa.php):
[plik index.php]
<?php
// może być np: uniqid(), ale chodzi tylko o sprawdzenie
// nastapiło pozytywne logowanie więc ustawiam jakiś identyfikator
$token = "12345";
setcookie("token", $token);
echo "Jestem w INDEX.PHP " . "<br>";
echo "Ustawiam cookie na " . $token . "<br>";
?>
<html>
<form action="dwa.php" method="POST">
<p>Test</p>
<input type="submit" value="DWA">
</form>
</html>
[plik dwa.php]
<?php
echo "Jestem w DWA.PHP " . "<br>";
$token = "";
$token = $_COOKIE["token"];
echo "czytam cookie = " . $token . "<br>";
?>
<html>
<a href="index.php">Back</a>
<html>
Uruchamiamy plik index.php, wybieramy przycisk "DWA" pojawia się zawartość wygenerowana przez dwa.php. Teraz kopiujemy url do sąsiedniej zakładki i niestety
bez problemu da się zobaczyć efekt działania pliku dwa.php. Więc cookie nie wystarcza. Chyba, że ja czegoś nie rozumiem?
Pozdrawiam
MW
Back to pl.comp.lang.php | Previous | Next — Previous in thread | Next in thread | Find similar
Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-25 00:37 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-25 04:38 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-25 05:31 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-25 06:30 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-25 07:14 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-25 07:58 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url Rafal Podsiadly <spinacz24@gmail.com> - 2015-09-25 08:22 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url "PawelS cbrbob(at)wbcd(dot)pl" <fake@email.org> - 2015-09-26 12:10 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-09-27 15:29 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-28 08:11 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-28 01:06 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-09-28 18:46 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url "PawelS cbrbob(at)wbcd(dot)pl" <fake@email.org> - 2015-10-02 23:08 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-10-05 12:55 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url Bolek <bolek@lolek.com> - 2015-09-28 12:57 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-09-28 18:48 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-28 09:52 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url Bolek <bolek@lolek.com> - 2015-09-29 10:31 +0200
Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-28 06:42 -0700
Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-29 06:31 -0700
csiph-web