Пхп

← →
Дмитрий С © (2012-12-14 13:12) [40]

Между прочим, свой правильный сайт ты так и не показал. Показывай, не стесняйся.

← →
Андреевич (2012-12-14 13:17) [41]

ты еще и писатель :(

← →
Андреевич (2012-12-14 13:40) [42]

Возьми любой сайт с IPB

← →
Vegeta (2012-12-14 13:52) [43]

> Андреевич

Все крупные и грамотно написанные сайты сто лет как хранят сессии только в куках. Зайди хоть в гугл, хоть в яндекс, хоть в фейсбук.
Тебе ни о чем не говорит тот факт, что параметр session.use_only_cookies в php, начиная с 5.3.0, установлен в 1 по умолчанию?
Кроме того, даже если юзер сам отключает куки в браузере, у него всё равно работают сессионные куки, которые хранятся только на время сеанса просмотра страниц.

Это же самые азы веб-программирования и безопасности - сессии только в куках, и только HttpOnly.

← →
Vegeta (2012-12-14 14:12) [44]

> Андреевич (14.12.12 11:33) [36]

Просто блеск! Кинул мне коллега из соседнего кабинета ссылочку, а браузеры-то у нас одинаковые... Приехали, называется.

← →
Kerk © (2012-12-14 14:22) [45]

> Андреевич (14.12.12 13:40) [42]
> Возьми любой сайт с IPB

Лучше взять фейсбук, вконтакте, твиттер, яндекс или какой-нибудь меил.ру с гуглплюсом. Совершенно безграмотные люди там сидят, получается.

← →
Дмитрий С © (2012-12-14 16:44) [46]

> Kerk © (14.12.12 14:22) [45]

Что меня на яндексе удивило. Буквально на неделе залез к человеку в почту через девичью фамилию мамы.

← →
antonn © (2012-12-14 20:06) [47]

> Кроме того, даже если юзер сам отключает куки в браузере,
> у него всё равно работают сессионные куки, которые хранятся
> только на время сеанса просмотра страниц

что такое "сессионные куки"? потому как я в мозиле запрещаю хранение кук, и они вообще не сохраняются м/у запрсоами в одном сеансе. именно для этого и сделаны сиды в урлах и формах, потому что при отключенных куках данные можно передать только те, что в странице (get/post), и чтобы без кук можно было авторизоваться

> Vegeta (14.12.12 14:12) [44]
>
>
> > Андреевич (14.12.12 11:33) [36]
>
> Просто блеск! Кинул мне коллега из соседнего кабинета ссылочку,
> а браузеры-то у нас одинаковые... Приехали, называется.
>

а вы что думали - в сказку попали? добро пожаловать в http, какой протокол - такие и костыли

> Kerk © (14.12.12 14:22) [45]

одноклассники - это мейлру ("юридически"), весной перешел по ссылке в их же чате и попал на главную страницу профиля человека, с которым переписывался. Я к тому, что говнокода везде хватает, и даже сокрытие сида в урле - не обязательно для глупой дырки. А при тех костылях, что и так многие используют (привязка к ИП и браузеру - чуть ли не обязательна, как минимум при логине в админке) свечение сидом в урле - не опасно. Может быть неудобно (можно один раз разлогинить пользователя, ага), но не опасно в большинстве случаев.
http://desksoft.ru/index.php?s_id=3e02ad1bedef01c95b9ab392bfe1302e - ну вот что ты мне сделаешь?

← →
antonn © (2012-12-14 20:13) [48]

> Тебе ни о чем не говорит тот факт, что параметр session.
> use_only_cookies в php, начиная с 5.3.0, установлен в 1
> по умолчанию?

Это означает, что сессионный механизм в ПХП будет хранить сессии только в куках. Для тех, кто хочет иметь красивые куки и клиентура которых - всегда их будет принимать. Все очевидно же

← →
Vegeta (2012-12-14 23:09) [49]

> antonn © (14.12.12 20:06) [47]
> что такое "сессионные куки"

Это временные куки (expire = 0), которые удаляются при закрытии браузера.
Когда-то давно, когда браузеры еще не имели приватных режимов, доморощенные "хакеры" и провинциальные параноики отключали хранение кук на компе. Но заметь, отключали только постоянное хранение. Сессионные куки никто в здравом уме не отключает. Если куки запретить полностью, то при попытке авторизоваться, к примеру, на Яндексе, получишь:

Произошла ошибка.
Чтобы авторизация на Яндексе проходила корректно, необходимо включить куки (Cookies) в настройках вашего браузера. О том, как включить куки, можно прочитать в разделе помощи Что такое cookies. Важное условие - настройки должны быть выполнены именно так, как описано на этой странице.

И это стандартное, адекватное поведение для веб-сервисов, использующих сессии. Никто, кроме устаревших форумов, идентификатор сессии в URL не пихает.
Я не знаю, о чем тут ещё говорить.

← →
antonn © (2012-12-15 10:36) [50]

> Если куки запретить полностью, то при попытке авторизоваться,
> к примеру, на Яндексе, получишь:

так и должно быть

> Это временные куки (expire = 0), которые удаляются при закрытии
> браузера.

они не ставятся при отключенных куках

← →
silver © (2012-12-15 12:22) [51]

не, не так доказываете
попробуй гденибудь оплатить карточкой с отключенными куками и явоскриптом
более того - есть процессинги, которые позволяют платить банковскими чеками
так там надо натурально подпись рисовать мышкой
сделано оно на яваскрипте почти везде
так корежить сслки - это дикость какая-то, реально с 90х не видел

← →
antonn © (2012-12-15 14:18) [52]

> silver © (15.12.12 12:22) [51]
>
> не, не так доказываете

а кто-то что-то доказывает? я говорю очевидные вещи тем, кому "не нравится вид ссылок", у меня нет желания переубеждать тех, кто не знает зачем это может быть необходимо. Зачем это делается - я уже сказал, необходимость поддержки клиентов без кук - это лишь выбор владельца сайта, а не необходимость (так, переписывая курилку я выкинул свои сесии и храню тупо ИД в куках, т.е. без кук не получится авторизоваться (и без всяких вымышленных "сессионных" кук), и я готов на это пойти, отказав в нормальном пользовании таким клиентам, это мой выбор и мое требование к поддержке нужных технологий на клиенте). Интернет-банкинг может на странице дописать что поддержка скриптов и кук - необходима. Не трудно догадаться, что в этом случае можно выкинуть сиды из урлов.

> так корежить сслки - это дикость какая-то, реально с 90х
> не видел

практически любой форумный движок на IPB (а он очень распространен) поддерживает (настроен) передачу сида в урле, и, соответственно, при первом посещении страницы все ссылки будут иметь сид. Просто внимательней глянь (например, на сорсы я выше дал ссылку)

← →
знайка (2012-12-15 15:32) [53]

> практически любой форумный движок на IPB
Не. мы ходим на социал, стековерфлов, кодепродект ..., так такого нет. :)

← →
antonn © (2012-12-15 15:39) [54]

так это не необходимость

← →
Vegeta (2012-12-16 18:30) [55]

> antonn © (15.12.12 14:18) [52]

Ты мне одно объясни. Зачем отключать куки?

← →
Игорь Шевченко © (2012-12-16 18:44) [56]

Vegeta (16.12.12 18:30) [55]

Конфиденциальность, не ?

← →
Vegeta (2012-12-16 18:57) [57]

> Игорь Шевченко © (16.12.12 18:44) [56]
> Конфиденциальность, не ?

Для этого есть приватный режим. Нет смысла полностью блокировать куки.

← →
Игорь Шевченко © (2012-12-16 19:33) [58]

Vegeta (16.12.12 18:57) [57]

У меня нет приватного режима, я прошу выдавать запрос, сохранять куки или нет.

← →
Андреевич (2012-12-16 19:50) [59]

> Для этого есть приватный режим.

это относится к какому-то стандарту или обкатанной технологии? или фичка какого-то конкретного браузера какой-то из его версий?

ЗЫ ну просто так: через http inspection в циске выводящей в интернет можно тебе порубать все куки и без браузера, хоть какой поставь браузер

← →
Дмитрий С © (2012-12-16 22:55) [60]

> или фичка какого-то конкретного браузера какой-то из его
> версий?

Все уже поддерживают, нет?

>
> ЗЫ ну просто так: через http inspection в циске выводящей
> в интернет можно тебе порубать все куки и без браузера,
> хоть какой поставь браузер

Я надеюсь что скоро весь интернет станет https, тогда никакая циска ничего порубать не сможет.

← →
antonn © (2012-12-16 23:03) [61]

> Все уже поддерживают, нет?

какие "все"? вот лично на том, на котором я все проверяю - нет такого, и это не обязательно

> Я надеюсь что скоро весь интернет станет https, тогда никакая
> циска ничего порубать не сможет.

у меня для тебя плохие новости...
облом за обломом =) циска давно уже умеет проверять https, это что-то вроде фишинга получается, клиенту отдается ее сертификат. И в антивирусах применяется, например KIS и TMG

← →
Дмитрий С © (2012-12-16 23:20) [62]

> облом за обломом =) циска давно уже умеет проверять https,
> это что-то вроде фишинга получается, клиенту отдается ее
> сертификат

https дает гарантию, что никто на пути от тебя до сервера эти данные не получит. Браузер легко спалит твою циску, если ты, конечно, осознанно не установишь ее корневой сертификат. Ну а в случае с клиентским сертификатом - то по-любому обломится.

← →
antonn © (2012-12-16 23:22) [63]

Браузер тебе и скажет чей он, разумеется. Только если она твой gateway, ты никуда не денешься. Никто не заставляет пользоваться, речь о том, что резать можно и без твоего согласия

← →
antonn © (2012-12-16 23:24) [64]

> https дает гарантию, что никто на пути от тебя до сервера
> эти данные не получит.

ах да - это какая такая гарантия? :) тебе дают сертификат, как ты узнаешь чей он не сделав запрос на нужный ресурс? а подменив ответ от этого второго запроса? :)

← →
Дмитрий С © (2012-12-17 00:00) [65]

> ах да - это какая такая гарантия? :) тебе дают сертификат,
> как ты узнаешь чей он не сделав запрос на нужный ресурс?
> а подменив ответ от этого второго запроса? :)

У тебя на компьютере установлены корневые сертификаты, проверяется ими.

Гарантия. Например вот тут
https://www.symantec.com/verisign/ssl-certificates/secure-site-pro
гарантия $1,250,000

← →
Vegeta (2012-12-17 11:17) [66]

> Игорь Шевченко © (16.12.12 19:33) [58]
> antonn © (16.12.12 23:03) [61]

1. Приватный режим есть во всех современных браузерах: IE8 и выше, FireFox 3.5 и выше, Chrome, Opera 10.5 и выше, Safari 3 и выше. А пользоваться устаревшими версиями, мягко говоря, небезопасно.
2. В режиме приватного просмотра не сохраняются: куки (но на время сессии работают), история просмотра, история загрузок, кэш страниц, пароли и данные в формах, поисковые запросы, кэш и куки плагинов (флеш, силверлайт). Можно его включить по умолчанию.
Приватный режим, собственно, и создавался для конфиденциальности. Можно его включить по умолчанию.
3. Конкретно куки можно удалять по закрытию браузера, можно разрешать отдельным сайтам и т.д.

Поэтому мне не понятно. Зачем полностью отключать куки? Или зачем их рубить циской или проксей? Какой в этом практический смысл? Почему просто не удалять купи при закрытии браузера? И самое главное - зачем какому-то форуму поддерживать клиентов, не поддерживающих куки, жертвуя при этом безопасностью, размером страниц, поисковой выдачей и ресурсами сервера (присобачивая sid к каждой ссылке и проверяя ip с юзерагентом на каждый запрос)? Да на сервере страницы даже закешировать нормально нельзя...

← →
Андреевич (2012-12-17 16:40) [67]

> Поэтому мне не понятно. Зачем полностью отключать куки?

я могу их украсть через xss, и если они есть (не важно на какой срок установленные) - они уйдут.

> И самое главное - зачем какому-то форуму поддерживать клиентов,
> не поддерживающих куки, жертвуя при этом безопасностью

чем жертвуется? я привел на прошлых страницах ссылку с sid, что ты мне сделаешь? я вытащу ссылку из кук - и сделаю тоже самое, что ты сможешь мне сделать

← →
Андреевич (2012-12-17 16:43) [68]

приватный режим - это костыль

← →
Vegeta (2012-12-17 17:10) [69]

> Андреевич (17.12.12 16:40) [67]

Во-первых, своровать куки намного сложнее, чем ты думаешь. Для этого, как минимум, сайт должен иметь XSS-уязвимость. Во-вторых, полностью отключив куки, ты не просто избавляешься от опасности XSS, а полностью теряешь возможность пользоваться сервисом, хранящем сессию в куках. Как в песне: "И жена не уйдет к другому, если у вас нет жены..."

Это какой-то странный довод в пользу блокировки кук. С ещё большим успехом можно вообще не пользоваться браузером - точно никогда не станешь жертвой сплоита из-за уязвимости браузера.

> чем жертвуется?

Вполне безобидный и довольно вероятный сценарий я привел в [44].

> Андреевич (17.12.12 16:43) [68]
> приватный режим - это костыль

no comments

← →
Vegeta (2012-12-17 17:14) [70]

Кстати, XSS атака на сессию в url"е имеет в сто раз больше шансов на успех, т.к. js всегда может получить текущий url, а куки - только в случае рукожопости веб-программиста.

Vegeta (17.12.12 11:17) [66]

> А пользоваться устаревшими версиями, мягко говоря, небезопасно.

Что в с составе системы идет, тем и пользуюсь. IE6, до сих пор было безопасно.

← →
Vegeta (2012-12-17 17:25) [72]

> Игорь Шевченко © (17.12.12 17:18) [71]
> Что в с составе системы идет, тем и пользуюсь. IE6, до сих пор было безопасно.

Т.е. ОС вы не обновляете? IE8 давным-давно вышел как важное обновление безопасности для Windows XP.
И называть IE6 безопасным - это даже не смешно..

Vegeta (17.12.12 17:25) [72]

> Т.е. ОС вы не обновляете?

Обновляю

> IE8 давным-давно вышел как важное обновление безопасности
> для Windows XP

Мне в нем неудобно, обновление не критическое

> И называть IE6 безопасным - это даже не смешно..

Почему ?

← →
Vegeta (2012-12-17 18:02) [74]

> Игорь Шевченко © (17.12.12 17:29) [73]
> Почему ?

Хотя бы потому, что Microsoft сама советует отказаться от IE6 из-за того, что тот не соответствует современным стандартам безопасности.
Официальный сайт: http://www.ie6countdown.com
http://en.wikipedia.org/wiki/Internet_Explorer_6#Security_problems

Я уже молчу о том, что огромное количество сайтов в IE6 не работают.
IE6 своё отработал, давно пора его похоронить.

← →
Vegeta (2012-12-17 18:19) [75]

http://www.google.com/search?q=ie6+security+risk

Vegeta (17.12.12 18:02) [74]

http://www.google.ru/search?q=ie8+security+risk

не понимаю :)

> Я уже молчу о том, что огромное количество сайтов в IE6
> не работают.

Пусть себе не работают. Те сайты, на которые я хожу (например, этот) превосходно работают. А то, что не работают сайты со свистелками - мне туда не надо.

> Vegeta (17.12.12 17:14) [70]
>
> Кстати, XSS атака на сессию в url"е имеет в сто раз больше
> шансов на успех, т.к. js всегда может получить текущий url,
> а куки - только в случае рукожопости веб-программиста.

еще раз - я тебе на предыдущей странице дал сид в открытом виде, даже xss не нужен. что ты можешь сделать?? в куках хранится этот же самый сид, так что без разницы откуда его воровать - из кук или урла. все одно - ты, в подавляющем большинстве случаев, ничего не сможешь сделать. И куки никак не являются надежным местом хранения
в JS есть getcookie()

← →
Vegeta (2012-12-17 18:54) [78]

> в JS есть getcookie()

Т.е. о флаге HttpOnly ты не слышал?

нет конечно же, как и ты моего вопроса

Честно говоря, перестал улавливать предмет спора :)

По поводу кук есть еще модное ЕСовское веяние. Например, см тут сверху страницы http://unittest.inside.quest.com/index.jspa

Пхп Найти похожие ветки