Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
12.01.2008 17:19:40
Logi scripti turvalisus |
|
|
Koostasin ise ühe login scripti, pole sellist lähenemist ennem 'näinud ja tahaks küsida, kui turvaline see olla võib.
Kui sisse logitud pole on kogu lehe sisu div sees, millel on display:none; Näha on ainult parooli kast.
Parool on andmebaasis loetakse
<input type="hidden" name="parol" value="'.$parol.'"> |
Nupuvajutus võrdleb JavaScriptiga paroole, õige korral teeb küpsise sees ja muudab style failis lehe nähtavaks.
_________________
|
|
Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
12.01.2008 17:22:35
|
|
|
no kui sa parooli juba enne kliendile teada annad, siis kuidas see turvaline on ?
|
|
Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
tagasi üles |
|
|
Cemtey_old
HV vaatleja
liitunud: 13.06.2006
|
12.01.2008 17:24:04
|
|
|
.. kustutatud ..
viimati muutis Cemtey_old 04.05.2014 15:52:52, muudetud 1 kord |
|
Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
4 |
|
tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
12.01.2008 17:41:54
|
|
|
Kas hidden väljalt on võimalik asju näha? Kui keeruline lihtne see on? Kui on lehel display;none väli, kas seda saab muud moodi vaadata?
_________________
|
|
Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
12.01.2008 17:42:51
|
|
|
andrusny kirjutas: |
Kas hidden väljalt on võimalik asju näha? Kui keeruline lihtne see on? Kui on lehel display;none väli, kas seda saab muud moodi vaadata? |
View source on kõige esimene ja lihtsaim meetod
|
|
Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
12.01.2008 17:45:17
|
|
|
Kui seal on ainult esilehe tutvustav sisu ja nupud mis käivitavad php koode, kuid mille käivitamine ilma sisse logimata midagi ei anna.
_________________
|
|
Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
12.01.2008 17:47:44
|
|
|
<input type="hidden" name="parol" value="'.$parol.'"> <-- kas see siis peaks olema see, mida klient näeb ?
mida siin juhul siis javascript võrdleb üldse ?
kui $parol asendatakse õige parooliga kliendile saates, siis saab klient ju selle parooli teada
|
|
Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
12.01.2008 17:49:33
|
|
|
hidden väli ei ole nähtav
Edit jep koodis on näha.
_________________
viimati muutis andrusny 12.01.2008 17:51:35, muudetud 1 kord |
|
Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
tagasi üles |
|
|
mikk36
HV Guru
liitunud: 21.02.2004
|
12.01.2008 17:50:14
|
|
|
andrusny kirjutas: |
hidden väli ei ole nähtav |
lähtekoodis on (view source)
|
|
Kommentaarid: 85 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
78 |
|
tagasi üles |
|
|
Aq
HV kasutaja
liitunud: 01.01.2003
|
12.01.2008 22:15:39
|
|
|
Hot.ee-s ei saa sisselogimist kuidagi teha... lihtsalt ääremärkus... seega kõiksugu JS asjad heida heaga kõrvale...
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
12.01.2008 23:41:20
|
|
|
Mis puutub siia hot.ee ??? Ja kindlasti saab ka seal. Midagi peaks ikka koraldada saama.
_________________
|
|
Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
tagasi üles |
|
|
k2iguvahetaja
HV veteran
liitunud: 07.05.2003
|
13.01.2008 01:52:16
|
|
|
Isver, olen 100% kindel, et leidub teine meetod. Ära leiuta kandilist ratast.
|
|
Kommentaarid: 45 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
38 |
|
tagasi üles |
|
|
gloom
Kreisi kasutaja
liitunud: 15.07.2002
|
20.01.2008 00:58:35
|
|
|
andrusny kirjutas: |
Mis puutub siia hot.ee ??? Ja kindlasti saab ka seal. Midagi peaks ikka koraldada saama. |
Pole nagu mõtet leiutada midagi mis on jama. Hot ei toeta php-d
|
|
Kommentaarid: 29 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
2 :: |
23 |
|
tagasi üles |
|
|
Traf
Kreisi kasutaja
liitunud: 04.12.2007
|
22.01.2008 07:21:02
|
|
|
Kui tahad turvalisust, siis tuleb kasutusele võtta turvalised meetmed.
Saada kliendile salasõnast tehtud SHA-256 hash ja võrdle kliendi sisestatud salasõna sobivust, kasutades javascriptis tehtud jsSHA2 skripti. Kui hashid klapivad, siis kasuta seda sama salasõna peidetud div'is sisalduva krüptitud info mõistetavaks tegemiseks, kasutades selleks vastavaid tööriistu. Ma ei oska öelda, kui kaua sa nii brute-force rünnakutele vastu pead, tuleb loota, et selleks ajaks on info juba oma tähtsuse kaotanud.
|
|
Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
47 |
|
tagasi üles |
|
|
kapa24
HV vaatleja
liitunud: 23.01.2003
|
23.01.2008 11:48:02
|
|
|
Javascriptiga tehtud lahendus pole ei ühel ega teisel moel mitte kuidagi turvaline.
Mis mõtet sellel hidden väljal üldse on? Lülitan css-i välja ning ongi lehekülg olemas.
Ausaltöeldes kõige jaburam idee, mida kuulnud olen
|
|
tagasi üles |
|
|
|