Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > pl.comp.lang.php > #14911

Re: Jak się zabezpieczyć przed skopiowaniem url

Show key headers only | View raw

Rozumiem, że Pan Borys uważa wszystkich audytorów pracujących np. w bankach za idiotów, bo większość banków stosuje tego typu zabezpieczenie.

W ramach swojej strony nie przekazuję id sesji w URL, wszystkie dane są przekazywane metoda POST i są odpowiednio walidowane.

Stosowanie identyfikatora w COOKIE, po pozytywnym logowaniu nie wystarcza.
Poniżej prosty przykład na sprawdzenie tej tezy (plik index.php wywołuje plik dwa.php):

[plik index.php]
<?php
// może być np: uniqid(), ale chodzi tylko o sprawdzenie
// nastapiło pozytywne logowanie więc ustawiam jakiś identyfikator
$token = "12345";
setcookie("token", $token);
echo "Jestem w INDEX.PHP " . "<br>";
echo "Ustawiam cookie na " . $token . "<br>";
?>

<html>
<form action="dwa.php" method="POST">
<p>Test</p>
<input type="submit" value="DWA"> 
</form>
</html>

[plik dwa.php]
<?php
echo "Jestem w DWA.PHP " . "<br>";
$token = "";
$token = $_COOKIE["token"];
echo "czytam cookie = " . $token . "<br>";
?>
<html>
<a href="index.php">Back</a>
<html>


Uruchamiamy plik index.php, wybieramy przycisk "DWA" pojawia się zawartość wygenerowana przez dwa.php. Teraz kopiujemy url do sąsiedniej zakładki i niestety
bez problemu da się zobaczyć efekt działania pliku dwa.php. Więc cookie nie wystarcza. Chyba, że ja czegoś nie rozumiem?


Pozdrawiam
MW

Back to pl.comp.lang.php | Previous | Next — Previous in thread | Next in thread | Find similar

Thread

Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-25 00:37 -0700
  Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-25 04:38 -0700
  Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-25 05:31 -0700
    Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-25 06:30 -0700
  Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-25 07:14 -0700
    Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-25 07:58 -0700
      Re: Jak się zabezpieczyć przed skopiowaniem url Rafal Podsiadly <spinacz24@gmail.com> - 2015-09-25 08:22 -0700
      Re: Jak się zabezpieczyć przed skopiowaniem url "PawelS cbrbob(at)wbcd(dot)pl" <fake@email.org> - 2015-09-26 12:10 +0200
        Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-09-27 15:29 +0200
        Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-28 08:11 -0700
  Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-28 01:06 -0700
    Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-09-28 18:46 +0200
      Re: Jak się zabezpieczyć przed skopiowaniem url "PawelS cbrbob(at)wbcd(dot)pl" <fake@email.org> - 2015-10-02 23:08 +0200
        Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-10-05 12:55 +0200
  Re: Jak się zabezpieczyć przed skopiowaniem url Bolek <bolek@lolek.com> - 2015-09-28 12:57 +0200
    Re: Jak się zabezpieczyć przed skopiowaniem url Borys Pogoreło <borys@pl.edu.leszno> - 2015-09-28 18:48 +0200
      Re: Jak się zabezpieczyć przed skopiowaniem url "M.M." <mmarszik@gmail.com> - 2015-09-28 09:52 -0700
      Re: Jak się zabezpieczyć przed skopiowaniem url Bolek <bolek@lolek.com> - 2015-09-29 10:31 +0200
  Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-28 06:42 -0700
  Re: Jak się zabezpieczyć przed skopiowaniem url mwitkowski2b@gmail.com - 2015-09-29 06:31 -0700

csiph-web