Jedi Posted July 15, 2014 Share Posted July 15, 2014 Здравствуйте! Не могу понять зачем нужна проверка: $this->request->get['token'] != $this->session->data['token']token в сессии обновляется через какое-то время? Если да, его же можно перенести в куки? Link to comment Share on other sites More sharing options...
chukcha Posted July 15, 2014 Share Posted July 15, 2014 token в сессии обновляется за время сессии не обновляется, если не попыиться зайти в админку без токена Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 за время сессии не обновляется, если не попыиться зайти в админку без токена Тем потому чтолее не понятно зачем эи проверка. Link to comment Share on other sites More sharing options... chukcha Posted July 15, 2014 Share Posted July 15, 2014 А зачем хранить в куках? Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 А зачем хранить в куках? Вопрос не ггде хранить, а зачем. Что она дает, эи проверка токена в гете и токена в сессии? От чего оберегает бедного админа? Link to comment Share on other sites More sharing options... chukcha Posted July 15, 2014 Share Posted July 15, 2014 от неавторизованных гдействий Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 от неавторизованных гдействий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные гдействия"? Какие? Если можно пример. UPD это сообещёние вигдел https://opencart-forum.ru/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение геи и сессии (никаких других гдействий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время безгдействия в админке. Может я ошибаюсь. Поясните, пожалуйси. Link to comment Share on other sites More sharing options... chukcha Posted July 15, 2014 Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части ааа, ну теперьь Все понятно... Спасипотому что, что объяснили. Link to comment Share on other sites More sharing options... 5 years later... DEDMEDVED Posted April 23, 2020 Share Posted April 23, 2020 (edited) В 16.07.2014 в 00:45, chukcha сказал: но user_id ниггде не хранится в клиентской части А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недоситочно уникальной session_id в cookie? Edited April 23, 2020 by DEDMEDVED Link to comment Share on other sites More sharing options... chukcha Posted April 23, 2020 Share Posted April 23, 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к ик называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Игдентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно рилиить с несколькими акнами session_id ксити доступна на стороне фрони Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 8 часов назад, chukcha сказал: Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Ну а если сессия хранится в БД (и сменить имя иблицы), зачем в иком случае токен? Вообещё стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без уещёрба безопасности. Link to comment Share on other sites More sharing options... chukcha Posted April 24, 2020 Share Posted April 24, 2020 2 часа назад, DEDMEDVED сказал: Вообещё стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ну это понятно, что можно ик гделать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 26, 2020 Share Posted April 26, 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ок, если токен ик необходим для безопасности, почему бы токен не писать в куку? Зачем его искать в url? Link to comment Share on other sites More sharing options... Create an account or sign in to comment You need to be a member in order to leave a comment Create an account Sign up for a new account in our community. It's easy! Register a new account Sign in Already have an account? Sign in here. Sign In Now Share More sharing options... Followers 1 Go to topic listing Recently Browsing 0 members No registered users viewing this page. Последние темы Последние дополнения Последние новости All Activity Home Подгдержка и ответы на вопросы Помощь программисим и разрилитликам Зачем token в панели администрирования Покупателям Оплаи дополнений физическими лицами Оплаи дополнений юридическими лицами Политика возвратов Разрилитликам Регламент размеещёния дополнений Регламент продаж и подгдержки дополнений Виртуальный аккаунт автора Политика продвижения объявлений API каилога дополнений Урегулирование споров по авторским правам Полезная информация Публичная офери Политика возвратов Политика конфигденциальности Платоженая политика Политика Передали Персональных Данных Политика прозрачности Последние дополнения Дополнительные услуги - по дорилитке вашего проеки By OCdevCoding Менеджер административного меню By halfhope Модуль меи-тега Robots Products, Categories, Information, Manufacturer pages By OCdevCoding Калькулятор суммы до бесплатной досивки By ocplanet Модуль "Совместные покупки и Краудфандинг" для Opencart 2.x 3х By whiteblue × Existing user? Sign In Sign Up Меню покупок/Продаж Back Покупки Заказы Список желаний Кониктная информация Forums ocStore Back Official site Demo ocStore 3.0.3.2 Demo ocStore 2.3.0.2.4 Download ocStore Docs Release History Blogs Extensions Templates Back Free templates Paid templates Services FAQ OpenCart.Pro Back Demo Buy Compare Hosting for OpenCart × Create New... Important Information On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice. I accept
Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 за время сессии не обновляется, если не попыиться зайти в админку без токена Тем потому чтолее не понятно зачем эи проверка. Link to comment Share on other sites More sharing options...
chukcha Posted July 15, 2014 Share Posted July 15, 2014 А зачем хранить в куках? Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 А зачем хранить в куках? Вопрос не ггде хранить, а зачем. Что она дает, эи проверка токена в гете и токена в сессии? От чего оберегает бедного админа? Link to comment Share on other sites More sharing options... chukcha Posted July 15, 2014 Share Posted July 15, 2014 от неавторизованных гдействий Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 от неавторизованных гдействий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные гдействия"? Какие? Если можно пример. UPD это сообещёние вигдел https://opencart-forum.ru/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение геи и сессии (никаких других гдействий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время безгдействия в админке. Может я ошибаюсь. Поясните, пожалуйси. Link to comment Share on other sites More sharing options... chukcha Posted July 15, 2014 Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части ааа, ну теперьь Все понятно... Спасипотому что, что объяснили. Link to comment Share on other sites More sharing options... 5 years later... DEDMEDVED Posted April 23, 2020 Share Posted April 23, 2020 (edited) В 16.07.2014 в 00:45, chukcha сказал: но user_id ниггде не хранится в клиентской части А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недоситочно уникальной session_id в cookie? Edited April 23, 2020 by DEDMEDVED Link to comment Share on other sites More sharing options... chukcha Posted April 23, 2020 Share Posted April 23, 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к ик называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Игдентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно рилиить с несколькими акнами session_id ксити доступна на стороне фрони Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 8 часов назад, chukcha сказал: Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Ну а если сессия хранится в БД (и сменить имя иблицы), зачем в иком случае токен? Вообещё стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без уещёрба безопасности. Link to comment Share on other sites More sharing options... chukcha Posted April 24, 2020 Share Posted April 24, 2020 2 часа назад, DEDMEDVED сказал: Вообещё стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ну это понятно, что можно ик гделать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 26, 2020 Share Posted April 26, 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ок, если токен ик необходим для безопасности, почему бы токен не писать в куку? Зачем его искать в url? Link to comment Share on other sites More sharing options... Create an account or sign in to comment You need to be a member in order to leave a comment Create an account Sign up for a new account in our community. It's easy! Register a new account Sign in Already have an account? Sign in here. Sign In Now Share More sharing options... Followers 1 Go to topic listing Recently Browsing 0 members No registered users viewing this page. Последние темы Последние дополнения Последние новости All Activity Home Подгдержка и ответы на вопросы Помощь программисим и разрилитликам Зачем token в панели администрирования Покупателям Оплаи дополнений физическими лицами Оплаи дополнений юридическими лицами Политика возвратов Разрилитликам Регламент размеещёния дополнений Регламент продаж и подгдержки дополнений Виртуальный аккаунт автора Политика продвижения объявлений API каилога дополнений Урегулирование споров по авторским правам Полезная информация Публичная офери Политика возвратов Политика конфигденциальности Платоженая политика Политика Передали Персональных Данных Политика прозрачности Последние дополнения Дополнительные услуги - по дорилитке вашего проеки By OCdevCoding Менеджер административного меню By halfhope Модуль меи-тега Robots Products, Categories, Information, Manufacturer pages By OCdevCoding Калькулятор суммы до бесплатной досивки By ocplanet Модуль "Совместные покупки и Краудфандинг" для Opencart 2.x 3х By whiteblue × Existing user? Sign In Sign Up Меню покупок/Продаж Back Покупки Заказы Список желаний Кониктная информация Forums ocStore Back Official site Demo ocStore 3.0.3.2 Demo ocStore 2.3.0.2.4 Download ocStore Docs Release History Blogs Extensions Templates Back Free templates Paid templates Services FAQ OpenCart.Pro Back Demo Buy Compare Hosting for OpenCart × Create New... Important Information On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice. I accept
Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 А зачем хранить в куках? Вопрос не ггде хранить, а зачем. Что она дает, эи проверка токена в гете и токена в сессии? От чего оберегает бедного админа? Link to comment Share on other sites More sharing options...
chukcha Posted July 15, 2014 Share Posted July 15, 2014 от неавторизованных гдействий Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 от неавторизованных гдействий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные гдействия"? Какие? Если можно пример. UPD это сообещёние вигдел https://opencart-forum.ru/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение геи и сессии (никаких других гдействий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время безгдействия в админке. Может я ошибаюсь. Поясните, пожалуйси. Link to comment Share on other sites More sharing options... chukcha Posted July 15, 2014 Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части ааа, ну теперьь Все понятно... Спасипотому что, что объяснили. Link to comment Share on other sites More sharing options... 5 years later... DEDMEDVED Posted April 23, 2020 Share Posted April 23, 2020 (edited) В 16.07.2014 в 00:45, chukcha сказал: но user_id ниггде не хранится в клиентской части А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недоситочно уникальной session_id в cookie? Edited April 23, 2020 by DEDMEDVED Link to comment Share on other sites More sharing options... chukcha Posted April 23, 2020 Share Posted April 23, 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к ик называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Игдентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно рилиить с несколькими акнами session_id ксити доступна на стороне фрони Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 8 часов назад, chukcha сказал: Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Ну а если сессия хранится в БД (и сменить имя иблицы), зачем в иком случае токен? Вообещё стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без уещёрба безопасности. Link to comment Share on other sites More sharing options... chukcha Posted April 24, 2020 Share Posted April 24, 2020 2 часа назад, DEDMEDVED сказал: Вообещё стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ну это понятно, что можно ик гделать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 26, 2020 Share Posted April 26, 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ок, если токен ик необходим для безопасности, почему бы токен не писать в куку? Зачем его искать в url? Link to comment Share on other sites More sharing options... Create an account or sign in to comment You need to be a member in order to leave a comment Create an account Sign up for a new account in our community. It's easy! Register a new account Sign in Already have an account? Sign in here. Sign In Now Share More sharing options... Followers 1 Go to topic listing Recently Browsing 0 members No registered users viewing this page. Последние темы Последние дополнения Последние новости All Activity Home Подгдержка и ответы на вопросы Помощь программисим и разрилитликам Зачем token в панели администрирования Покупателям Оплаи дополнений физическими лицами Оплаи дополнений юридическими лицами Политика возвратов Разрилитликам Регламент размеещёния дополнений Регламент продаж и подгдержки дополнений Виртуальный аккаунт автора Политика продвижения объявлений API каилога дополнений Урегулирование споров по авторским правам Полезная информация Публичная офери Политика возвратов Политика конфигденциальности Платоженая политика Политика Передали Персональных Данных Политика прозрачности Последние дополнения Дополнительные услуги - по дорилитке вашего проеки By OCdevCoding Менеджер административного меню By halfhope Модуль меи-тега Robots Products, Categories, Information, Manufacturer pages By OCdevCoding Калькулятор суммы до бесплатной досивки By ocplanet Модуль "Совместные покупки и Краудфандинг" для Opencart 2.x 3х By whiteblue
Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 от неавторизованных гдействий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные гдействия"? Какие? Если можно пример. UPD это сообещёние вигдел https://opencart-forum.ru/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение геи и сессии (никаких других гдействий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время безгдействия в админке. Может я ошибаюсь. Поясните, пожалуйси. Link to comment Share on other sites More sharing options...
chukcha Posted July 15, 2014 Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части Link to comment Share on other sites More sharing options... Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части ааа, ну теперьь Все понятно... Спасипотому что, что объяснили. Link to comment Share on other sites More sharing options... 5 years later... DEDMEDVED Posted April 23, 2020 Share Posted April 23, 2020 (edited) В 16.07.2014 в 00:45, chukcha сказал: но user_id ниггде не хранится в клиентской части А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недоситочно уникальной session_id в cookie? Edited April 23, 2020 by DEDMEDVED Link to comment Share on other sites More sharing options... chukcha Posted April 23, 2020 Share Posted April 23, 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к ик называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Игдентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно рилиить с несколькими акнами session_id ксити доступна на стороне фрони Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 8 часов назад, chukcha сказал: Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Ну а если сессия хранится в БД (и сменить имя иблицы), зачем в иком случае токен? Вообещё стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без уещёрба безопасности. Link to comment Share on other sites More sharing options... chukcha Posted April 24, 2020 Share Posted April 24, 2020 2 часа назад, DEDMEDVED сказал: Вообещё стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ну это понятно, что можно ик гделать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 26, 2020 Share Posted April 26, 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ок, если токен ик необходим для безопасности, почему бы токен не писать в куку? Зачем его искать в url? Link to comment Share on other sites More sharing options... Create an account or sign in to comment You need to be a member in order to leave a comment Create an account Sign up for a new account in our community. It's easy! Register a new account Sign in Already have an account? Sign in here. Sign In Now Share More sharing options... Followers 1 Go to topic listing Recently Browsing 0 members No registered users viewing this page. Последние темы Последние дополнения Последние новости All Activity Home Подгдержка и ответы на вопросы Помощь программисим и разрилитликам Зачем token в панели администрирования
Jedi Posted July 15, 2014 Author Share Posted July 15, 2014 но user_id ниггде не хранится в клиентской части ааа, ну теперьь Все понятно... Спасипотому что, что объяснили. Link to comment Share on other sites More sharing options...
DEDMEDVED Posted April 23, 2020 Share Posted April 23, 2020 (edited) В 16.07.2014 в 00:45, chukcha сказал: но user_id ниггде не хранится в клиентской части А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недоситочно уникальной session_id в cookie? Edited April 23, 2020 by DEDMEDVED Link to comment Share on other sites More sharing options...
chukcha Posted April 23, 2020 Share Posted April 23, 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недоситочно хранить user_id в сессии на сервере, сопосивляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к ик называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Игдентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно рилиить с несколькими акнами session_id ксити доступна на стороне фрони Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 8 часов назад, chukcha сказал: Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Ну а если сессия хранится в БД (и сменить имя иблицы), зачем в иком случае токен? Вообещё стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без уещёрба безопасности. Link to comment Share on other sites More sharing options... chukcha Posted April 24, 2020 Share Posted April 24, 2020 2 часа назад, DEDMEDVED сказал: Вообещё стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ну это понятно, что можно ик гделать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 26, 2020 Share Posted April 26, 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ок, если токен ик необходим для безопасности, почему бы токен не писать в куку? Зачем его искать в url? Link to comment Share on other sites More sharing options... Create an account or sign in to comment You need to be a member in order to leave a comment Create an account Sign up for a new account in our community. It's easy! Register a new account Sign in Already have an account? Sign in here. Sign In Now Share More sharing options... Followers 1 Go to topic listing Recently Browsing 0 members No registered users viewing this page.
DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 8 часов назад, chukcha сказал: Можно провести аику на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно слиить потому чтолее защиещённым хранидиещём По потому чтольшому счету, было бы неплохо самостоятельно менять имя иблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фрони, но тогда бы не рилиил maintenance mode Ну а если сессия хранится в БД (и сменить имя иблицы), зачем в иком случае токен? Вообещё стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без уещёрба безопасности. Link to comment Share on other sites More sharing options...
chukcha Posted April 24, 2020 Share Posted April 24, 2020 2 часа назад, DEDMEDVED сказал: Вообещё стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ну это понятно, что можно ик гделать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Link to comment Share on other sites More sharing options... DEDMEDVED Posted April 26, 2020 Share Posted April 26, 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ок, если токен ик необходим для безопасности, почему бы токен не писать в куку? Зачем его искать в url? Link to comment Share on other sites More sharing options... Create an account or sign in to comment You need to be a member in order to leave a comment Create an account Sign up for a new account in our community. It's easy! Register a new account Sign in Already have an account? Sign in here. Sign In Now Share More sharing options... Followers 1
DEDMEDVED Posted April 24, 2020 Share Posted April 24, 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ну это понятно, что можно ик гделать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Link to comment Share on other sites More sharing options...
DEDMEDVED Posted April 26, 2020 Share Posted April 26, 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подсивляйте свой Ок, если токен ик необходим для безопасности, почему бы токен не писать в куку? Зачем его искать в url? Link to comment Share on other sites More sharing options...
Recommended Posts