|
|
30.05.2010, 10:52
|
 |
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 6,246
|
|
|
B~Vladi,
ну, я также думал разрулить
теперь злоумышленнику достаточно перехватить в любой момент сессию с случайным числом, и обновляя страницу раз в минуту, он будет поддерживать соединение
|
|
30.05.2010, 11:12
|
 |
NodeJS developer - ушел
|
|
Регистрация: 06.01.2010
Сообщений: 1,022
|
|
|
А если хранить логин и пароль в двух глобальных переменных?
window.login и window.parol ?
|
|
30.05.2010, 11:14
|
|
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 6,246
|
|
|
mycoding,
ты что шутишь?
конечно же это будет более чем небезопасно
|
|
30.05.2010, 11:38
|
|
NodeJS developer - ушел
|
|
Регистрация: 06.01.2010
Сообщений: 1,022
|
|
|
А почему? Все злоумышлиники рассчитывают, что данные в cookie.
Т.е. от случайных скриптов по угону паролей уже затились.
Страница закрыта данных нет.
Можно конечно просто idssesion держать в переменной.
Как можно данные угнать в этом случае.
|
|
30.05.2010, 11:57
|
|
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 6,246
|
|
|
Сообщение от mycoding
|
|
Все злоумышлиники рассчитывают, что данные в cookie.
|
нормальный злоумышленник просечет фишку на раз |
|
30.05.2010, 12:02
|
 |
Модератор Всея Форума
|
|
Регистрация: 14.05.2009
Сообщений: 4,021
|
|
mycoding, тогда уж не локально, а где нить внутри функции, чтобы хакер не сразу их нашел 
|
|
30.05.2010, 12:23
|
|
NodeJS developer - ушел
|
|
Регистрация: 06.01.2010
Сообщений: 1,022
|
|
|
На самом деле кроме сессий похоже ничего нет.
А моя идея с глобальными переменными плохая уже понял.
|
|
30.05.2010, 12:48
|
 |
Рассеянный профессор
|
|
Регистрация: 06.04.2009
Сообщений: 2,379
|
|
Как сделать автоматическую авторизацию (галочка "запомнить меня") не сохраняя логин/пароль в куках? Я не вижу способа.
|
Сообщение от Gvozd
|
|
и пароль в md5 в кукисах.
|
хеширование здесь ничего не меняет. |
|
30.05.2010, 17:35
|
 |
⊞ Развернуть
|
|
Регистрация: 11.01.2010
Сообщений: 1,810
|
|
|
При входе генерировать случайный ключ, записывать в БД и куки. При следующем входе ищем этот ключ и если находим, восстанавливаем сессию.
Последний раз редактировалось B@rmaley.e><e, 30.05.2010 в 17:38.
|
|
30.05.2010, 18:08
|
|
Рассеянный профессор
|
|
Регистрация: 06.04.2009
Сообщений: 2,379
|
|
|
Сообщение от B@rmaley.e><e
|
|
При входе генерировать случайный ключ, записывать в БД и куки. При следующем входе ищем этот ключ и если находим, восстанавливаем сессию.
|
если кто то получит доступ к кукам, то с помощью этого ключа он получит доступ к аккаунту, если в куках логин/пароль, тоже получит доступ к аккаунту, в чем разница? |
|
|
|
