Пхп

← →
alexdn © (2012-12-11 10:48) [0]

Вот немножко не понимаю я строчку
if (!isset($_SESSION["id"]))
т.е. переводится, если сессия существует, но я видно не понимаю как определяется существование сессии, сессия это вообще файл с каким то расширением?

← →
boriskb © (2012-12-11 10:53) [1]

http://www.phpfaq.ru/sessions

← →
БарЛог © (2012-12-11 10:59) [2]

сессия - это когда ты с красными глазами, не ешь, живешь в общаге... :)

← →
Pavia © (2012-12-11 11:32) [3]

https://www.google.ru/search?q=PHP+%D0%B4%D0%BB%D1%8F+%D1%87%D0%B0%D0%B9%D0%BD%D0%B8%D0%BA%D0%BE%D0%B2

← →
Правнук Винни-пуха (2012-12-11 13:05) [4]

Странный какой-то способ. Я в массиве $_SESSIONS не нашел элемент id по умолчанию. Скорее всего, чтобы использовать этот способ, нужно после открытия сессии записывать в нее элемент id. Т.е. он там по умлолчанию не создается. Чем плох if (session_id() != "") ?

← →
Медвежонок Пятачок © (2012-12-11 13:53) [5]

Строка тупо проверяет, есть ли в массиве $_SESSION элемент с именем "id"

← →
.megavoid (2012-12-12 09:58) [6]

Сессия - это два файла, один на сервере, один в браузере, тот, что в браузере - хранит только имя сессии, а все переменные сессии пхп хранит во временном файле на сервере. isset($_SESSION["id"]) - популярный способ проверки "залогиненности", перед этим элемент id надо в сессии "создать": $_SESSION["id"] = 12345;

← →
Правнук Винни-пуха (2012-12-12 10:37) [7]

> [6] .megavoid (12.12.12 09:58)

У пользователя сессия может хранится или в куки или в виде модификатора ко всем ссылкам на странице. Во втором случае никаких файлов у пользователя нет.

← →
.megavoid (2012-12-12 11:39) [8]

[7] &SID=md5 ну да, но с файлом, вроде как, понятнее. Сейчас хотят WebStorage в HTML5 всё это позаменить, может, и к лучшему, один фиг браузер уже недоось (чего стоят одни только Chrome apps)

← →
Дмитрий С © (2012-12-12 11:45) [9]

> или в виде модификатора ко всем ссылкам на странице

Пережитки прошлого, скорее бы пережить.

> Сейчас хотят WebStorage в HTML5 всё это позаменить

Кукисы это не заменит, никуда они не денутся.

← →
Андреевич (2012-12-13 10:28) [10]

> Дмитрий С © (12.12.12 11:45) [9]
>
> > или в виде модификатора ко всем ссылкам на странице
>
> Пережитки прошлого, скорее бы пережить.

при первом посещении нормальные сайты сразу добавляют к ссылкам сессию (и не только в ссылки, но и скрытые поля в формы), потому как кука будет поставлена и использована только на втором запросе страницы.

← →
знайка (2012-12-13 12:17) [11]

> при первом посещении нормальные сайты сразу добавляют к
> ссылкам сессию
Это какие такие нормальные?

← →
Дмитрий С © (2012-12-13 12:33) [12]

> при первом посещении нормальные сайты сразу добавляют к
> ссылкам сессию (и не только в ссылки, но и скрытые поля
> в формы), потому как кука будет поставлена и использована
> только на втором запросе страницы.

Любой сайт, который добавляет к ссылкам сессии не нормальный. Ну и насчет куки вы не правы.

← →
Пит (2012-12-13 12:49) [13]

Удалено модератором

← →
Vegeta (2012-12-13 12:54) [14]

> Андреевич (13.12.12 10:28) [10]
> при первом посещении нормальные сайты сразу добавляют к ссылкам сессию (и не только в ссылки, но и скрытые поля в формы), потому как кука будет поставлена и использована только на втором запросе страницы.

Полная чушь, от начала до конца.

← →
Андреевич (2012-12-13 13:19) [15]

> Полная чушь, от начала до конца.

это лишь говорит о твоем уровне :)

← →
Андреевич (2012-12-13 13:22) [16]

ну просто для Вегет:
-на сайт пришел запрос от клиента, кук нет. Мы не знаем поддерживаются ли куки у клиента, потому ставим ее и пишем ssid в урлы и формы.
-приходит второй запрос от клиента, у которого либо в куках либо в урлах будет ssid. если куки не поддерживаются (и, соотвественно, будут пусты), то используется ssid в урлах-формах, и прописывается в хтмл опять.

Андерстенд? :)

← →
Дмитрий С © (2012-12-13 13:26) [17]

> Андреевич (13.12.12 13:22) [16]

Убивать за такое надо!

Если у пользователя не поддерживаются куки, то нужно только об этом сообщить ему, а не пихать идентификатор сессии в ссылки.

> Пит (13.12.12 12:49) [13]

Ну тоже не совсем корректно. Помимо элемента массива, данная строка проверяет существование самого массива.

← →
Андреевич (2012-12-13 13:30) [18]

> Убивать за такое надо!
>
> Если у пользователя не поддерживаются куки, то нужно только
> об этом сообщить ему, а не пихать идентификатор сессии в
> ссылки.

я тебе сейчас открою страшную тайну, пока ты никого еще не убил: куки и идентификатор сессии как раз и используются в качестве костыльного метода идентификации клиента. Ставя куку не сможешь узнать ставится она или нет до тех пор пока клиент с переданой сессией не зайдет снова. Определить момент "зашел снова" можно лишь определив юзера по переданой сессии в урле.

еще кто нибудь хочет кого нибудь убить или по-полночушить?

← →
Дмитрий С © (2012-12-13 13:35) [19]

> Андреевич (13.12.12 13:30) [18]

Да ты видимо в прошлом веке живешь.
Первое что в голову пришло:
<script src="..."> - выполнить подзапрос со страницы, скрипт генерируется в зависимости от куки.

А есть еще картинки, а есть еще XMLHTTPRequest.

Мысли о том, что пользователь может отключить JavaScript (ровно как и куки), пожалуйста, оставь при себе.

← →
Андреевич (2012-12-13 13:38) [20]

Разумеется скрипты на клиенте могут не работать (не только путем их отключения). Скриптом в странице ты делаешь тоже самое, в скрипте будет сессия, это будет второй запрос.
А что картинки?

добро пожаловать в новый костыльный век? нет, спасибо, я в старом поживу, как-то понадежнее =)

← →
Дмитрий С © (2012-12-13 13:54) [21]

>
> добро пожаловать в новый костыльный век? нет, спасибо, я
> в старом поживу, как-то понадежнее =)

Надежнее в GET параметрах передавать куку? Очень безопасно.

Я надеюсь ты никогда не будешь делать сайт для любых фирм связанных с финансами и личной информацией.

> Разумеется скрипты на клиенте могут не работать

Если скрипты или куки у пользователя не работают - он наверняка в курсе этого и понимает что делает.

← →
знайка (2012-12-13 14:03) [22]

Так где нормальные сайты, или тоже в прошлом веке остались? :)

← →
Kerk © (2012-12-13 14:25) [23]

Особенно поисковики тебя полюбят за то, что одни и те же страницы постоянно будут иметь разные ссылки, благодаря этому SID в урле :)

Скоро уже лет 10 как цивилизация пытается от этого бреда избавиться, один ты против мейнстрима :)

← →
Андреевич (2012-12-13 14:40) [24]

> Надежнее в GET параметрах передавать куку? Очень безопасно.

не куку, а идентификатор сессии.
раз уж ты такой специлист, то объяснять чем отличается кука и ssid не надо? =)

> Я надеюсь ты никогда не будешь делать сайт для любых фирм
> связанных с финансами и личной информацией.

даже не надейся :)

> Kerk © (13.12.12 14:25) [23]

да мне на поисковики вообще пофиг (лично для себя и своих проектов), но любители СЕОшить все равно для их юзерагентов подсовывают "легкие версии" страниц, разумеется без ssid.

← →
Kerk © (2012-12-13 14:57) [25]

> Андреевич (13.12.12 14:40) [24]

Ты когда нам "нормальные сайты" уже покажешь? :)

← →
Медвежонок Пятачок © (2012-12-13 15:06) [26]

Надежнее в GET параметрах передавать куку? Очень безопасно.

Один мой знакомый (лет 15 назад) думал, что если гет - то это всем всё видно.
А если "пост" - то никто ничего не видит, кроме самого сервера.
Ни один хакер.

← →
Пит (2012-12-13 15:40) [27]

Удалено модератором

← →
antonn © (2012-12-13 17:56) [28]

> Kerk © (13.12.12 14:57) [25]
>
>
> > Андреевич (13.12.12 14:40) [24]
>
> Ты когда нам "нормальные сайты" уже покажешь? :)

например http://forum.sources.ru/index.php?

← →
Дмитрий С © (2012-12-13 18:38) [29]

> antonn © (13.12.12 17:56) [28]

Зашел в тему, решил вот с тобой поделится:
http://forum.sources.ru/index.php?s=1534b0a271c0b342c51f21e33397e99b&showtopic=190375

Прикольно получается да?

← →
antonn © (2012-12-13 18:42) [30]

>
> Прикольно получается да?

Да, именно об этом и говорилось. Если у тебя куки не поддерживаются, то сид в урле позволит авторизоваться. Почему при первом посещении он виден при включенных куках - я уже выше говорил.

← →
знайка (2012-12-13 18:58) [31]

У меня при первом не виден в урле, а установка в куках видна.

← →
antonn © (2012-12-13 20:13) [32]

> У меня при первом не виден в урле, а установка в куках видна.

в ссылках на странице, не в адресной строке браузера

← →
знайка (2012-12-13 20:31) [33]

т.е. уже есть куки и дополнительно пихают еще в ссылку? да уж нормальный, так нормальный...

← →
antonn © (2012-12-13 20:47) [34]

> т.е. уже есть куки и дополнительно пихают еще в ссылку?

внимательно прочитай [18], это же основы.
при первом запросе не известно поддерживает ли клиент куки (и вообще не известно что это за клиент), потому отправляются ему куки (в заголовках) и ставятся сиды в урлы. При втором запросе (и отдаче страницы, соответственно) при наличии сида в куках в ссылках проставляться не будет.

а так да, при самом первом запросе страницы возвращаются и куки в заголовке, и страница нашпигованная сидами в урлах. разумеется у тех сайтов, которые хотят угодить клиентам которые работают без кук.

← →
Дмитрий С © (2012-12-13 23:53) [35]

>
> а так да, при самом первом запросе страницы возвращаются
> и куки в заголовке, и страница нашпигованная сидами в урлах.
> разумеется у тех сайтов, которые хотят угодить клиентам
> которые работают без кук.

Так это и неправильно. Это подвергает опасности пользователя, который делится ссылкой. Тем более на форуме грех не поделиться.

Всё же я за то, что бы предупреждать пользователя, что с отключенными куками (вряд ли их кто-то сейчас не поддерживает) ему не удастся авторизоваться, вместо того чтобы без ведома пользователя пихать ключ к его учетке в строку адреса.

Блин, а что будет, если пользователь нажмет ссылку на этом форуме, реферером передаст свою сессию? Кросс-доменные рефереры разрешены по-умолчанию.

В общем - бить за такое!

← →
Андреевич (2012-12-14 11:33) [36]

> Дмитрий С © (13.12.12 23:53) [35]

давай по существу: сколько сайтов, а еще лучше - сколько систем авторизации ты написал? ну просто чтобы быть увереным, что ты понимаешь о чем пишешь.
Ну увижу я номер сессии, и что? ты сам-то пробовал зайти по чужой ссылке? разумеется, дырявый сайт написаный на коленке без понимания специфики работы сессий может авторизовать тебя под чужим логином. сайт, ссылку на который я привел, тебе этого не позволит (точнее движок форумный), там идет завязка на юзерагент и remote_ip.
Потому что идентификатор сессии<>логин. То что я его увижу еще не значит что смогу воспользоваться, не имея такого же ИП и браузера.

> Блин, а что будет,

я тебе скажу что будет у меня (собстенный механизм сессий) - если ip и юзерагент у пользователя отличается от тех, что были заданы при создании сессии (первом запросе страницы), то она удаляется и создается новая. Таким образом можно максимум разлогинить пользователя (либо зайти будучи в моей домашней сети и такого же браузера). И если ИП действительно встречаются часто (относительно тоже) одинаковые, то useragent меняется часто даже из-за какого-то плагина, не говоря уж про зоопарк браузеров.
Как минус у меня - нельзя зайти авторизованым по ссылке с разных браузеров одного компьютера, с каждый раз разным внешним ИП.

Т.ч. прежде чем "блинкать" - теорию бы поглядели. Прежде чем звать в "новый век" стоило бы понять, что для этого еще не создали условий и реализаций. Костыли про которые я говорю (а идентификация пользователя в http - это уже костыли) были придуманы не мной, и давно, обкатаны не на одном движке, и теория обсосана. Костыли про которые говоришь ты - более хромированные и с рюшечками, но функционально те же самые - реализованы где? Тебе не понравилось что сид в урлах светится? А что еще тебе не нравится, особенно из того, о работе чего ты, видимо, не сильно много знаешь? =)

← →
Андреевич (2012-12-14 11:41) [37]

Ах да, сид в урлах не особо опаснее чем xss и получение куки с твоей странички (+getcookie(), + get/post с закодироваными куками на свой адрес, плюс сброс в лог переданых данных (вплоть до автоматического перехода скриптом (с авторизацией, если механизм сессий дыряв) со сменой пароля в распространенных движках), и это на js). Ну это если о безопасности говорить и о том как можно стырить данные :) в данном случае без разницы где лежит sid (в куке или get/post), если механизм сессий имеет ограничения на использование сида, то мы ничего не сделаем. Если сессии дырявы - и из куки упрем, дело времени. А в такой безопасности нет вероятности, либо безопасно либо нет (хотя, опять же, с текущим зоопарком браузеров и самим http говорить о полной безопасности и идентификации вообще не стоит).

← →
Дмитрий С © (2012-12-14 12:02) [38]

Человек плагин поставил в браузер - сессию потерял, круто.
Интернет у человека отвалился, перелогинилися - сессию потерял, круто.

https://mypetition.ru/ - смотри сколько хочешь.
А еще попробуй на нем XSS вставить.
Лет 10 назад мы с человеком делали сайт и уже тогда пришли в к выводу, что передавать сессии в GET параметрах - зло. Все доводы что ты тут приводил мы еще 10 лет назад рассмотрели.

То что тот же php поддерживает вставку сидов в get параметры ссылок и в формы - это не значит что так делать правильно и надо.

← →
Андреевич (2012-12-14 13:05) [39]

аа, ну раз вы 10 лет назад рассмотрели, тогда ладно...
пойду думать, что же делать человеку поставившему плагин, он ведь разлогинится при этом... ужас просто, дикий не_юзерфрендли. Жаль, что раньше мне спор лишь показался беспредметным, на уровне "а мне не нравится урл". он такой и есть

← →
Дмитрий С © (2012-12-14 13:12) [40]

Между прочим, свой правильный сайт ты так и не показал. Показывай, не стесняйся.

← →
Андреевич (2012-12-14 13:17) [41]

ты еще и писатель :(

← →
Андреевич (2012-12-14 13:40) [42]

Возьми любой сайт с IPB

← →
Vegeta (2012-12-14 13:52) [43]

> Андреевич

Все крупные и грамотно написанные сайты сто лет как хранят сессии только в куках. Зайди хоть в гугл, хоть в яндекс, хоть в фейсбук.
Тебе ни о чем не говорит тот факт, что параметр session.use_only_cookies в php, начиная с 5.3.0, установлен в 1 по умолчанию?
Кроме того, даже если юзер сам отключает куки в браузере, у него всё равно работают сессионные куки, которые хранятся только на время сеанса просмотра страниц.

Это же самые азы веб-программирования и безопасности - сессии только в куках, и только HttpOnly.

← →
Vegeta (2012-12-14 14:12) [44]

> Андреевич (14.12.12 11:33) [36]

Просто блеск! Кинул мне коллега из соседнего кабинета ссылочку, а браузеры-то у нас одинаковые... Приехали, называется.

← →
Kerk © (2012-12-14 14:22) [45]

> Андреевич (14.12.12 13:40) [42]
> Возьми любой сайт с IPB

Лучше взять фейсбук, вконтакте, твиттер, яндекс или какой-нибудь меил.ру с гуглплюсом. Совершенно безграмотные люди там сидят, получается.

← →
Дмитрий С © (2012-12-14 16:44) [46]

> Kerk © (14.12.12 14:22) [45]

Что меня на яндексе удивило. Буквально на неделе залез к человеку в почту через девичью фамилию мамы.

← →
antonn © (2012-12-14 20:06) [47]

> Кроме того, даже если юзер сам отключает куки в браузере,
> у него всё равно работают сессионные куки, которые хранятся
> только на время сеанса просмотра страниц

что такое "сессионные куки"? потому как я в мозиле запрещаю хранение кук, и они вообще не сохраняются м/у запрсоами в одном сеансе. именно для этого и сделаны сиды в урлах и формах, потому что при отключенных куках данные можно передать только те, что в странице (get/post), и чтобы без кук можно было авторизоваться

> Vegeta (14.12.12 14:12) [44]
>
>
> > Андреевич (14.12.12 11:33) [36]
>
> Просто блеск! Кинул мне коллега из соседнего кабинета ссылочку,
> а браузеры-то у нас одинаковые... Приехали, называется.
>

а вы что думали - в сказку попали? добро пожаловать в http, какой протокол - такие и костыли

> Kerk © (14.12.12 14:22) [45]

одноклассники - это мейлру ("юридически"), весной перешел по ссылке в их же чате и попал на главную страницу профиля человека, с которым переписывался. Я к тому, что говнокода везде хватает, и даже сокрытие сида в урле - не обязательно для глупой дырки. А при тех костылях, что и так многие используют (привязка к ИП и браузеру - чуть ли не обязательна, как минимум при логине в админке) свечение сидом в урле - не опасно. Может быть неудобно (можно один раз разлогинить пользователя, ага), но не опасно в большинстве случаев.
http://desksoft.ru/index.php?s_id=3e02ad1bedef01c95b9ab392bfe1302e - ну вот что ты мне сделаешь?

← →
antonn © (2012-12-14 20:13) [48]

> Тебе ни о чем не говорит тот факт, что параметр session.
> use_only_cookies в php, начиная с 5.3.0, установлен в 1
> по умолчанию?

Это означает, что сессионный механизм в ПХП будет хранить сессии только в куках. Для тех, кто хочет иметь красивые куки и клиентура которых - всегда их будет принимать. Все очевидно же

← →
Vegeta (2012-12-14 23:09) [49]

> antonn © (14.12.12 20:06) [47]
> что такое "сессионные куки"

Это временные куки (expire = 0), которые удаляются при закрытии браузера.
Когда-то давно, когда браузеры еще не имели приватных режимов, доморощенные "хакеры" и провинциальные параноики отключали хранение кук на компе. Но заметь, отключали только постоянное хранение. Сессионные куки никто в здравом уме не отключает. Если куки запретить полностью, то при попытке авторизоваться, к примеру, на Яндексе, получишь:

Произошла ошибка.
Чтобы авторизация на Яндексе проходила корректно, необходимо включить куки (Cookies) в настройках вашего браузера. О том, как включить куки, можно прочитать в разделе помощи Что такое cookies. Важное условие - настройки должны быть выполнены именно так, как описано на этой странице.

И это стандартное, адекватное поведение для веб-сервисов, использующих сессии. Никто, кроме устаревших форумов, идентификатор сессии в URL не пихает.
Я не знаю, о чем тут ещё говорить.

← →
antonn © (2012-12-15 10:36) [50]

> Если куки запретить полностью, то при попытке авторизоваться,
> к примеру, на Яндексе, получишь:

так и должно быть

> Это временные куки (expire = 0), которые удаляются при закрытии
> браузера.

они не ставятся при отключенных куках

← →
silver © (2012-12-15 12:22) [51]

не, не так доказываете
попробуй гденибудь оплатить карточкой с отключенными куками и явоскриптом
более того - есть процессинги, которые позволяют платить банковскими чеками
так там надо натурально подпись рисовать мышкой
сделано оно на яваскрипте почти везде
так корежить сслки - это дикость какая-то, реально с 90х не видел

← →
antonn © (2012-12-15 14:18) [52]

> silver © (15.12.12 12:22) [51]
>
> не, не так доказываете

а кто-то что-то доказывает? я говорю очевидные вещи тем, кому "не нравится вид ссылок", у меня нет желания переубеждать тех, кто не знает зачем это может быть необходимо. Зачем это делается - я уже сказал, необходимость поддержки клиентов без кук - это лишь выбор владельца сайта, а не необходимость (так, переписывая курилку я выкинул свои сесии и храню тупо ИД в куках, т.е. без кук не получится авторизоваться (и без всяких вымышленных "сессионных" кук), и я готов на это пойти, отказав в нормальном пользовании таким клиентам, это мой выбор и мое требование к поддержке нужных технологий на клиенте). Интернет-банкинг может на странице дописать что поддержка скриптов и кук - необходима. Не трудно догадаться, что в этом случае можно выкинуть сиды из урлов.

> так корежить сслки - это дикость какая-то, реально с 90х
> не видел

практически любой форумный движок на IPB (а он очень распространен) поддерживает (настроен) передачу сида в урле, и, соответственно, при первом посещении страницы все ссылки будут иметь сид. Просто внимательней глянь (например, на сорсы я выше дал ссылку)

← →
знайка (2012-12-15 15:32) [53]

> практически любой форумный движок на IPB
Не. мы ходим на социал, стековерфлов, кодепродект ..., так такого нет. :)

← →
antonn © (2012-12-15 15:39) [54]

так это не необходимость

← →
Vegeta (2012-12-16 18:30) [55]

> antonn © (15.12.12 14:18) [52]

Ты мне одно объясни. Зачем отключать куки?

← →
Игорь Шевченко © (2012-12-16 18:44) [56]

Vegeta (16.12.12 18:30) [55]

Конфиденциальность, не ?

← →
Vegeta (2012-12-16 18:57) [57]

> Игорь Шевченко © (16.12.12 18:44) [56]
> Конфиденциальность, не ?

Для этого есть приватный режим. Нет смысла полностью блокировать куки.

Vegeta (16.12.12 18:57) [57]

У меня нет приватного режима, я прошу выдавать запрос, сохранять куки или нет.

← →
Андреевич (2012-12-16 19:50) [59]

> Для этого есть приватный режим.

это относится к какому-то стандарту или обкатанной технологии? или фичка какого-то конкретного браузера какой-то из его версий?

ЗЫ ну просто так: через http inspection в циске выводящей в интернет можно тебе порубать все куки и без браузера, хоть какой поставь браузер

> или фичка какого-то конкретного браузера какой-то из его
> версий?

Все уже поддерживают, нет?

>
> ЗЫ ну просто так: через http inspection в циске выводящей
> в интернет можно тебе порубать все куки и без браузера,
> хоть какой поставь браузер

Я надеюсь что скоро весь интернет станет https, тогда никакая циска ничего порубать не сможет.

> Все уже поддерживают, нет?

какие "все"? вот лично на том, на котором я все проверяю - нет такого, и это не обязательно

> Я надеюсь что скоро весь интернет станет https, тогда никакая
> циска ничего порубать не сможет.

у меня для тебя плохие новости...
облом за обломом =) циска давно уже умеет проверять https, это что-то вроде фишинга получается, клиенту отдается ее сертификат. И в антивирусах применяется, например KIS и TMG

> облом за обломом =) циска давно уже умеет проверять https,
> это что-то вроде фишинга получается, клиенту отдается ее
> сертификат

https дает гарантию, что никто на пути от тебя до сервера эти данные не получит. Браузер легко спалит твою циску, если ты, конечно, осознанно не установишь ее корневой сертификат. Ну а в случае с клиентским сертификатом - то по-любому обломится.

Браузер тебе и скажет чей он, разумеется. Только если она твой gateway, ты никуда не денешься. Никто не заставляет пользоваться, речь о том, что резать можно и без твоего согласия

> https дает гарантию, что никто на пути от тебя до сервера
> эти данные не получит.

ах да - это какая такая гарантия? :) тебе дают сертификат, как ты узнаешь чей он не сделав запрос на нужный ресурс? а подменив ответ от этого второго запроса? :)

> ах да - это какая такая гарантия? :) тебе дают сертификат,
> как ты узнаешь чей он не сделав запрос на нужный ресурс?
> а подменив ответ от этого второго запроса? :)

У тебя на компьютере установлены корневые сертификаты, проверяется ими.

Гарантия. Например вот тут
https://www.symantec.com/verisign/ssl-certificates/secure-site-pro
гарантия $1,250,000

← →
Vegeta (2012-12-17 11:17) [66]

> Игорь Шевченко © (16.12.12 19:33) [58]
> antonn © (16.12.12 23:03) [61]

1. Приватный режим есть во всех современных браузерах: IE8 и выше, FireFox 3.5 и выше, Chrome, Opera 10.5 и выше, Safari 3 и выше. А пользоваться устаревшими версиями, мягко говоря, небезопасно.
2. В режиме приватного просмотра не сохраняются: куки (но на время сессии работают), история просмотра, история загрузок, кэш страниц, пароли и данные в формах, поисковые запросы, кэш и куки плагинов (флеш, силверлайт). Можно его включить по умолчанию.
Приватный режим, собственно, и создавался для конфиденциальности. Можно его включить по умолчанию.
3. Конкретно куки можно удалять по закрытию браузера, можно разрешать отдельным сайтам и т.д.

Поэтому мне не понятно. Зачем полностью отключать куки? Или зачем их рубить циской или проксей? Какой в этом практический смысл? Почему просто не удалять купи при закрытии браузера? И самое главное - зачем какому-то форуму поддерживать клиентов, не поддерживающих куки, жертвуя при этом безопасностью, размером страниц, поисковой выдачей и ресурсами сервера (присобачивая sid к каждой ссылке и проверяя ip с юзерагентом на каждый запрос)? Да на сервере страницы даже закешировать нормально нельзя...

← →
Андреевич (2012-12-17 16:40) [67]

> Поэтому мне не понятно. Зачем полностью отключать куки?

я могу их украсть через xss, и если они есть (не важно на какой срок установленные) - они уйдут.

> И самое главное - зачем какому-то форуму поддерживать клиентов,
> не поддерживающих куки, жертвуя при этом безопасностью

чем жертвуется? я привел на прошлых страницах ссылку с sid, что ты мне сделаешь? я вытащу ссылку из кук - и сделаю тоже самое, что ты сможешь мне сделать

← →
Андреевич (2012-12-17 16:43) [68]

приватный режим - это костыль

← →
Vegeta (2012-12-17 17:10) [69]

> Андреевич (17.12.12 16:40) [67]

Во-первых, своровать куки намного сложнее, чем ты думаешь. Для этого, как минимум, сайт должен иметь XSS-уязвимость. Во-вторых, полностью отключив куки, ты не просто избавляешься от опасности XSS, а полностью теряешь возможность пользоваться сервисом, хранящем сессию в куках. Как в песне: "И жена не уйдет к другому, если у вас нет жены..."

Это какой-то странный довод в пользу блокировки кук. С ещё большим успехом можно вообще не пользоваться браузером - точно никогда не станешь жертвой сплоита из-за уязвимости браузера.

> чем жертвуется?

Вполне безобидный и довольно вероятный сценарий я привел в [44].

> Андреевич (17.12.12 16:43) [68]
> приватный режим - это костыль

no comments

← →
Vegeta (2012-12-17 17:14) [70]

Кстати, XSS атака на сессию в url"е имеет в сто раз больше шансов на успех, т.к. js всегда может получить текущий url, а куки - только в случае рукожопости веб-программиста.

Vegeta (17.12.12 11:17) [66]

> А пользоваться устаревшими версиями, мягко говоря, небезопасно.

Что в с составе системы идет, тем и пользуюсь. IE6, до сих пор было безопасно.

← →
Vegeta (2012-12-17 17:25) [72]

> Игорь Шевченко © (17.12.12 17:18) [71]
> Что в с составе системы идет, тем и пользуюсь. IE6, до сих пор было безопасно.

Т.е. ОС вы не обновляете? IE8 давным-давно вышел как важное обновление безопасности для Windows XP.
И называть IE6 безопасным - это даже не смешно..

Vegeta (17.12.12 17:25) [72]

> Т.е. ОС вы не обновляете?

Обновляю

> IE8 давным-давно вышел как важное обновление безопасности
> для Windows XP

Мне в нем неудобно, обновление не критическое

> И называть IE6 безопасным - это даже не смешно..

Почему ?

← →
Vegeta (2012-12-17 18:02) [74]

> Игорь Шевченко © (17.12.12 17:29) [73]
> Почему ?

Хотя бы потому, что Microsoft сама советует отказаться от IE6 из-за того, что тот не соответствует современным стандартам безопасности.
Официальный сайт: http://www.ie6countdown.com
http://en.wikipedia.org/wiki/Internet_Explorer_6#Security_problems

Я уже молчу о том, что огромное количество сайтов в IE6 не работают.
IE6 своё отработал, давно пора его похоронить.

← →
Vegeta (2012-12-17 18:19) [75]

http://www.google.com/search?q=ie6+security+risk

Vegeta (17.12.12 18:02) [74]

http://www.google.ru/search?q=ie8+security+risk

не понимаю :)

> Я уже молчу о том, что огромное количество сайтов в IE6
> не работают.

Пусть себе не работают. Те сайты, на которые я хожу (например, этот) превосходно работают. А то, что не работают сайты со свистелками - мне туда не надо.

> Vegeta (17.12.12 17:14) [70]
>
> Кстати, XSS атака на сессию в url"е имеет в сто раз больше
> шансов на успех, т.к. js всегда может получить текущий url,
> а куки - только в случае рукожопости веб-программиста.

еще раз - я тебе на предыдущей странице дал сид в открытом виде, даже xss не нужен. что ты можешь сделать?? в куках хранится этот же самый сид, так что без разницы откуда его воровать - из кук или урла. все одно - ты, в подавляющем большинстве случаев, ничего не сможешь сделать. И куки никак не являются надежным местом хранения
в JS есть getcookie()

← →
Vegeta (2012-12-17 18:54) [78]

> в JS есть getcookie()

Т.е. о флаге HttpOnly ты не слышал?

нет конечно же, как и ты моего вопроса

Честно говоря, перестал улавливать предмет спора :)

По поводу кук есть еще модное ЕСовское веяние. Например, см тут сверху страницы http://unittest.inside.quest.com/index.jspa

Пхп Найти похожие ветки