- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Может ли злоумышленник увидеть, что была на сайте проверка Cookies и имя переменной, чтоб попытаться подбирать значения?
Остаются ли в браузере следы запроса от сервера?
Т.е, сервер не устанавливает, а просто проверяет наличие куки в браузере, например простой строкой
if ($_COOKIE["usvar"] == 'blabla52325'){ $user = "ok"; }
Пароль не проверятся. Насколько это опасно?
Авторизация на отдельной спрятанной странице только для себя.
Увидеть не может.
Увидеть не может.
А перехватить никак нельзя? Например какими-нибудь хитрыми скриптами js или плагинами для браузеров..?
Нет таких инструментов у хакеров?
Что именно перехватить в пхп скрипт он залезть не может, если только доступа к серверу не имеет.
А эта ерунда с куками у вас очень опасна, если ничего не проверяется. Что угодно можно прописать и зайти под админом, а там уже вытворять что угодно, если конечно возможно например удалять страницы с сайта и т.п.
Похоже я туплю, действительно. Запрос от сервера - это похоже я нафантазировал...
Браузер сам отдаёт куки в глобальный массив сервера, если они есть. А если их нет, то и дела нет.
Что угодно можно прописать
Как прописать? Не зная даже имя переменной?
---------- Добавлено 29.04.2016 в 20:34 ----------
На странице эти прописи ограничится одной строкой
if ($_COOKIE["usvar"] == 'blabla52325'){ $user = "ok"; }
Дальше нужна только переменная $user
---------- Добавлено 29.04.2016 в 21:07 ----------
У меня такой скрипт работает на многих страницах, где мне нужно редактировать тексты.
Скрипт мой браузер узнаёт по куке и открывает доступ к редактору.
Что-то сегодня одолели сомнения... решил посоветоваться, насколько это безопасно.
По идее, если даже узнают имя куки, то подобрать значение им опять проблема. А то что они впихнут в куку - нигде тоже использоваться не будет. Не совпадает с моим значением - всё, досвидос!
Или я что-то опять туплю?
Можно дописать else unset($_COOKIE);
Все ок, так можно пользоваться. Только сделайте кнопку разлогина. Авторизация в принципе так и работает.
Только сделайте кнопку разлогина
Есть такая.
Ну теперь отлегло хоть..
А то после взлома джумлы уже всего боюсь...
Всем спасибо!!!
Народ, либо я запарился либо вы. Кука передаётся в открытом виде в заголовках. Если я там увижу usvar и своё имя, то я обязательно поставлю туда admin. В куках передают всякую фигню или айди сессии. А вот сессию видно уже только не сервере. Оно?
При отправке запроса, устанавливаются куки злоумышленником
Cookie: usvar=admin; password=123;
это пишется в заголовках.
Соответственно если у тебя на сервере ничего не проверяется или проверяется только имя пользователя, например admin, а пароль вообще не проверяется соответственно произойдет авторизация, а там уже вытворяй что хочешь
В куках передают всякую фигню или айди сессии. А вот сессию видно уже только не сервере. Оно?
Неважно, id сессии или сама сессия. Если сайт работает с данным id, то перехватив это значение и поставив где-нибудь в другом браузере, можно получить тот же самый доступ.
Избежать этого может привязка сессии к ip-адресу.
И меня загоняете в ступор...
Народ, либо я запарился либо вы. Кука передаётся в открытом виде в заголовках. Если я там увижу usvar и своё имя, то я обязательно поставлю туда admin.
Где там? У себя в браузере? С чего это у вас там появится моя usvar?
Забыл сразу написать, что сайты все самодельные.
Стандартных способов авторизации и переменных популярных CMS нету.
---------- Добавлено 30.04.2016 в 09:40 ----------
Если сайт работает с данным id, то перехватив это значение
Вопрос как перехватить?
Если даже я зайду со своей кукой usvar на ваш хакерский сайт, он её не покажет, потому что кука для другого сайта и в заголовке её не будет.
Или как?
Какие варианты есть перехватить чужую куку с никому неизвестным именем?
Здесь usvar - абстрактное имя куки (user variable). На самом деле её имя и значение известны только мне, моему браузеру и моему серверу.