18.3.2001 02:23  batva  [] Мне по барабану. Во-первых мой гуард режет Referer Во-вторых я батом почту беру.Ответ DL:Так разгово...">



2b315845

Комментарии к статье "" - 2


table width="100%" cellpadding="0" cellspacing="0" >18.3.2001 02:23  batva  []

Мне по барабану.

Во-первых мой гуард режет Referer

Во-вторых я батом почту беру.

Ответ DL:

Так разговор-то не про Бат :)

19.3.2001 04:23  alex  []

А что делать, если в базу необходимо писать URL картинки, а потом отображать ее в броузере. И как защититься если под адресом картинки (как www.site.com/image.gif) находиться какой нибудь перл-скрипт или еще что-то?

Ответ DL:

Держать ID сессий в куках - пусть лучше пользователи их включают, чем потом жалуются на взлом. А иначе никак не защититься - входите, берите, что хотите.

24.3.2001 23:20  fish  []

Интересная идея о получении реферра, многие порно сайты, вернее их контент зашишен лишь проверкой рефера, каким образом можно формировать заголовок http запроса с помошью php? это конечно тот еще вопрос, но к зашите имеет отношение :) нужно как уже все наверное поняли для линкования картинок с платников :)

Ответ DL:

вот как раз об этом - вышел следующий выпуск :)

28.3.2001 18:39  AK  []

DL> яваскрипт может и куку выкусить.

Как это?! Как я понимаю теорию, куки отдаются только на тот хост, с которого были записаны; т.е. если запрос http://main/index.php, в котором setcookie ('name', 'value'), то далее на обращения к index.php броузер пользователя будет отсылать этот кук. Но если я внутри index.php поставлю картинку с другого хоста (например: http://hacker/image.gif), то броузер не будет отправлять вместе с запросом мой кук, т.к. хост другой. Хорошо, если попытаться вместо image.gif подставить JavaScript, то тоже ничего не получится. Он просто не будет обработан, т.к. броузер по тэгу img ожидает получить картинку, а не текст. Вообще, как JavaScript может выкусить кук другого хоста? Я теряюсь в догадках. Где дырка? :)

6.4.2001 17:01  kostysh  []

имхо, лучше хттп-авторизации ничего нет... делал я как-то систему управления пользовательсскими сессиями для одного эл.м., так я там именно ее и использовал

для авторизации пользователя, в куках только номер сессии хранил, для пользовательского

баскета, а в таком случае, даже если тебе удалось узнать номер сесии, ты все равно в профиль пользователя без пароля не войдешь... вот так

<


Начало  Назад  Вперед