Перейти к содержимому

Сервис обмена электронных валют

Партнерская программа Kredov

Формы, передача данных из формы

#21 v1ex

v1ex
  • Пользователь
  • 225 сообщений
  • Репутация: 0
0

Отправлено 20 Июнь 2009 - 20:55

100 раз видел эту сериализацию

ZiTosS, это к чему? Я не догоняю :)
  • 0

#22 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8

Отправлено 20 Июнь 2009 - 21:01

Это ни к чему, так просто немного не точно выразился. Хотел сказать, что сериализация удобна при передачи данных. Массив -> строка -> Массив. Просто сказал, что куки не всегда сработают, есть ещё такие пользователи интернета, которые сидят и трясутся как бы их не взломали, они отключают все куки. Поэтому и сказал, что удобнее всё через сессии передавать.
  • 0

#23 v1ex

v1ex
  • Пользователь
  • 225 сообщений
  • Репутация: 0

Отправлено 20 Июнь 2009 - 21:15

Это ни к чему, так просто немного не точно выразился. Хотел сказать, что сериализация удобна при передачи данных. Массив -> строка -> Массив.

Аа, согласен. Сам часто использую сериализацию, например в Ajax (json, возвращаемый сервером, в объекты)
Просто сказал, что куки не всегда сработают, есть ещё такие пользователи интернета, которые сидят и трясутся как бы их не взломали, они отключают все куки. Поэтому и сказал, что удобнее всё через сессии передавать.
Ну в этом случе лучше проверку сделать на работоспособность куков, потому что в проектах где особо сессии не ипользуются, лишний раз их трогать не стоит.
А вообще в данном случае (я думаю выше приведенный пример используется для восстановления формы при ошибках ввода), лучше передавать назад форме значения через post/get запрос (если нет каких нибудь секретных данных, хотя можно юзать SSL).

Кстате данный пример еще и не безопасен. Если в форме будут какие нибудь пароли, то он будет храниться в куках, а это не есть гуд :)
  • 0

#24 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8

Отправлено 20 Июнь 2009 - 21:43

Это не просто не безопасно, это дыра.
  • 0

#25 Banderas

Banderas
    Topic Starter
  • Пользователь
  • 1 168 сообщений
  • Репутация: 1

Отправлено 20 Июнь 2009 - 23:42

Насколько я знаю, то сессии удаляются после закрытия браузера... Да, действительно, так в кукизах пароли хранит Вконтакте, и простым JS выводит все на чистый лист, можно даже md5()/sha1() не расшифровывать, просто вставить куки в свои настройки браузера :) В куках можно хранить логин, имейл, телефон, инициалы, ... но думаю, что пароль должен либо хранится на бумажке, либо в очень хорошо зашифрованном виде
  • 0


#26 v1ex

v1ex
  • Пользователь
  • 225 сообщений
  • Репутация: 0

Отправлено 21 Июнь 2009 - 05:26

Да, действительно, так в кукизах пароли хранит Вконтакте, и простым JS выводит все на чистый лист

Ага, главная социальная сеть России в куки пароли прячет, лол :)
  • 0

#27 Banderas

Banderas
    Topic Starter
  • Пользователь
  • 1 168 сообщений
  • Репутация: 1

Отправлено 21 Июнь 2009 - 07:14

нихрена оно не прячет!!! есть простинький JS код, который тебе покажет твои куки... В этом я уверен на 200%, поскольку сам вводил этот "скрипт" в строку браузера и у самого выводились все данные. У меня друг взломал таким способом около 20 аккаунтов Вконтакте... Так что наша любимая социалка палит пароли, хоть и зашифрованные, но палит.

пс. думаю все знают, что простенький md5() очень легко расшифровывается, есть даже сервисы такие :)
  • 0


#28 v1ex

v1ex
  • Пользователь
  • 225 сообщений
  • Репутация: 0

Отправлено 21 Июнь 2009 - 08:02

нихрена оно не прячет!!!

Под словом прячет я подразумевал хранит, и это был сарказм :)
есть простинький JS код, который тебе покажет твои куки... В этом я уверен на 200%, поскольку сам вводил этот "скрипт" в строку браузера и у самого выводились все данные.  У меня друг взломал таким способом около 20 аккаунтов Вконтакте... Так что наша любимая социалка палит пароли, хоть и зашифрованные, но палит.

пс. думаю все знают, что простенький md5() очень легко расшифровывается, есть даже сервисы такие;)
Я согласен, что может быть в Cookies храниться логин, который зашифрован симметричным шифрованием, где в качестве ключа шифра используется какие нибудь специфичные данные, или вроде того :)
Даже если предположить, что пароль храниться в открытом виде в cookies, то как ты сможешь у пользователя украсть эти cookies ))) ? Мне кажется ты не совсем понимаешь, что такое cookies )
Покажите скрипт пожалуйста:)
  • 0

#29 Banderas

Banderas
    Topic Starter
  • Пользователь
  • 1 168 сообщений
  • Репутация: 1

Отправлено 21 Июнь 2009 - 08:58

Даже если предположить, что пароль храниться в открытом виде в cookies, то как ты сможешь у пользователя украсть эти cookies )))?

Очень не сложно. Думаю легко написать скрипт, который будет давать ссылку на картинку, но пользователь будет заходить на сайт, который через редирект запустит скрипт и заберет данные.

Палить всей темы не буду, а скрипт можете сами написать, он примерно в 50 символов, типа
javascript='setcookies(); open='document';

пс. если друг разрешит, скину в личку. Ато сейчас начнут все ламать друг друга =)))
  • 0


#30 v1ex

v1ex
  • Пользователь
  • 225 сообщений
  • Репутация: 0

Отправлено 21 Июнь 2009 - 10:50

Наконец я понял, про что ты мне втираешь... :) XSS??
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru