Hirdetés
- Milyen hagyományos (nem okos-) telefont vegyek?
- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
- Samsung Galaxy A54 - türelemjáték
- Apple iPhone 11 Pro Max - tiltott gyümölcs
- Apple iPhone 15 - a bevált módszer
- Xiaomi 14 - párátlanul jó lehetne
- Honor Magic7 Pro - kifinomult, költséges képalkotás
- Kezünkben a OnePlus 15 és az Oppo Find X9-ek
- Poco F7 – bajnokesélyes
- Utolérné riválisait a Vivo akkumulátorban
Új hozzászólás Aktív témák
-
cucka
addikt
válasz
Odiepapa
#3613
üzenetére
Viszont egy double hashelest bevetek en is. A jelszoemlekeztetohoz meg kicsit maskeppen/ masmezoben tarolom a dolgokat, hogy vissza tudjam fejteni,
Ennek semmi értelme. Ha szükséged van a jelszóemlékeztetőre, akkor tárold el sima szövegként a jelszót, ellenkező esetben pedig elég a hash.Ujabb biztonsagi kerdes: formbol gondolom keyloggerrel lehet a legegyszerubben kiszedni adatokat
Gondolom egy átlagos weboldalról van szó. Ez esetben a gonosz hackereket egyáltalán nem a jelszó érdekli. Ha én lennék a gonosz hacker és fel szeretném törni a prohardveres felhasználói fiókodat, akkor nem a jelszavad érdekelne, hanem bármilyen más módszer, amivel el tudom hitetni a rendszerrel, hogy be vagyok lépve a te nevedben. Például ellopom a session-ödet, vagy valamilyen sql injection-t használok, ilyesmi.Cucka, megtenned, hogy gyorsan felvazolod ennek a megoldasat?
Már felvázolták. Amikor bejelentkezik egy felhasználó, akkor eltárolod az adatbázisban az ip címét és a user agent-jét. Minden oldallekérés elején ellenőrzöd, hogy változtak-e ezek az adatok. Ha változtak, az azt jelenti, hogy az illető felhasználónak sikeresen ellopták a session-jét, tehát kilépteted és átirányítod a bejelentkezéshez. Továbbá oda kell figyelni arra, hogy az adatok tárolására szolgáló adatbázis táblát karbantartsd, illetve ez a módszer gondot okozhat azoknál a felhasználóknál, akik valamilyen anonimizáló rendszeren keresztül érik el az oldaladat. -
#3614
fordfairlane
veterán
Odiepapa
#3613
fordfairlane
veterán
válasz
Odiepapa
#3613
üzenetére
Cucka, megtenned, hogy gyorsan felvazolod ennek a megoldasat?
Bizonyára valami olyan megoldásra gondolt, hogy belépésnél eltárolod a kliensgép IP címét és/vagy user agent stringjét ($_SERVER["REMOTE_ADDR"] , $_SERVER["HTTP_USER_AGENT"]) , amit minden oldallekérésnél ellenőrzöl, hogy stimmel-e. Ha nem stimmel, az az esetek praktikusan 100 százalékában session hijack próbálkozást jelent.
Új hozzászólás Aktív témák
- Hobby rádiós topik
- Milyen hagyományos (nem okos-) telefont vegyek?
- Mobilinternet
- Path of Exile (ARPG)
- PlayStation 5
- AMD Ryzen 9 / 7 / 5 / 3 5***(X) "Zen 3" (AM4)
- A fociról könnyedén, egy baráti társaságban
- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
- Becsszó, még mindig készül a Half-Life 3!
- Samsung Galaxy A54 - türelemjáték
- További aktív témák...
- Apple MacBook Pro 13" 2019 256/8GB Akku:40 ciklus! Magyar
- EREDETI NINTENDO Pokemon Go Plus autocatcher dobozban eladó
- Playstation 5 lemezes // Számla // Garancia //
- HP ZBook Firefly 14 i7-1165G7 16GB 1000GB Nvidia Quadro T500 4GB 14" FHD 1 év garancia
- Samsung Galaxy S24 Ultra 256GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest