|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
17.07.2010, 22:25 | #21 |
Старожил
Регистрация: 19.04.2010
Сообщений: 2,702
|
- Двойные сессии надо блокировать при авторизации - если пользователь он-лайн, то авторизация запрещена.
- Клонов запрещать не надо, надо лишь за ними следить и убивать злобных нарушителей. - IP блокировать можно фаерволом или через тот же .htaccess. Такие действия лучше делать вручную. - Да, плохой человек может поменять ip, но если мы соблюдаем вышеперечисленные правила, то скорее всего он зае****ся в начале пути, а в некоторых случая (при правильной организации защиты) вообще ничего сделать не сможет. |
18.07.2010, 21:03 | #22 |
Пользователь
Регистрация: 06.10.2009
Сообщений: 83
|
Виталий Желтяков, Я сегодня пробовал редактировать сессию и оказывается это крах, она так легко редактируется вообще ужас.
Против этого есть борьба.?. У меня было построено всё на том что когда человек проходит авторизацию его ник сохраняется в сессию, и переходя из страницы на страницу сессия работала как идентификатором. А сегодня решив разрушить свои опасения и попробовать по редактировать сессию так оказалось я запросто могу менять пользователей (позорно в защите я ноль ) Большое спасибо за компанию.. |
18.07.2010, 21:51 | #23 |
Старожил
Регистрация: 19.04.2010
Сообщений: 2,702
|
Значит авторизацию сделали неправильно. Как Вы вообще редактировали сессию?
Лучше использовать следующую схему: - При первой авторизации ставим куки пользователю: логин и хэшированный пароль по необратимому алгоритму + автоматически ставиться кук сессии. - При первом подключении к странице должен происходить процесс инициализации во время, которого происходит проверка кук. - Если при авторизации у пользователя проверяем куки с правильными паролями, то авторизуем, иначе рубим сессию и куки. Т.е. процесса авторизации как такового нет. Если куки плохие или их нет, то показываем страницу авторизации. Если, что-то не понятно,то лучше приведите примеры своих скриптов. |
19.07.2010, 07:58 | #24 | |
Пользователь
Регистрация: 06.10.2009
Сообщений: 83
|
Цитата:
Только я вроде маленько заработался (т.к программирования это не моя настоящая работа это просто для души ) и запамятовал что сессий хранятся не на компьютере а на сервере в определенной папке примерно Temp (временные файлы). А по правде признаться Ваша авторизация жесть на врядтле в скором будущем я такое смогу написать (подскажи что полезно почитать что б найти хоть что то похожее и полезное подчеркнуть) |
|
19.07.2010, 19:16 | #25 |
Старожил
Регистрация: 19.04.2010
Сообщений: 2,702
|
В простой авторизации нет ничего сложного. Смотрите приведенный выше алгоритм.
|
20.07.2010, 09:43 | #26 |
Пользователь
Регистрация: 06.10.2009
Сообщений: 83
|
Простую то я написал .
Виталий Желтяков, Написано что Сессии хранятся на сервере в папке temp и что она легко доступна всем и они предлагают сменить место хранения сессии от этого толк будет??? |
20.07.2010, 21:56 | #27 |
Старожил
Регистрация: 19.04.2010
Сообщений: 2,702
|
Она доступна всем кто имеет доступ к серверу. Это несколько другой уровень защиты.
Да, желательно поменять месторасположение каталога сессий на свой и установить свои правила доступа на этот каталог. Так как если сервер взломают, то взломщик может получить доступ к папке temp. Свои права доступа осложняют взломщику задачу. Если у Вас нормальный хостинг с защитой, то особо об этом беспокоится не стоит. Последний раз редактировалось Виталий Желтяков; 20.07.2010 в 21:59. |
31.07.2010, 10:13 | #28 |
Пользователь
Регистрация: 06.10.2009
Сообщений: 83
|
Виталий Желтяков, Спасибо большое..
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Защита кода книги в html | Design | HTML и CSS | 12 | 25.11.2014 10:44 |
Защита кода | GvR | Общие вопросы Delphi | 7 | 17.11.2009 03:08 |
Защита кода | -=L.Morgan=- | Общие вопросы Delphi | 4 | 29.06.2009 13:10 |
защита кода С++ | Ceprey | Общие вопросы C/C++ | 3 | 25.03.2008 22:09 |
Защита участков кода | BlackOmen | Общие вопросы Delphi | 5 | 12.03.2008 08:59 |