Главная Контакты


  На сайте

  Java, JavaScript
  Документация Perl
  Документация PHP
  Документация ASP
  Новости сайта
  Flash
  Интернет протоколы
  Apache
  Уроки программирования
  Язык программирования C
 


приемы безопасного программирования веб-приложений



После авторизации все скрипты защищенной части вызываются с неким флажком вида adminmode=1. (Не надо смеяться - я сам такое видел).

Ясно, что любой, кому известен флажок adminmode, может сам сформировать URL и зайти в режиме администрирования. Кроме того - нет возможности отличить одного пользователя от другого.

Скрипт авторизации может каким-нибудь образом передать имя пользователя другим скриптам. Распространено во многих www-чатах - для того, чтобы отличить, где чье сообщение идет, рядом с формой типа text для ввода сообщения, пристраивается форма типа hidden, где указывается имя пользователя. Тоже ненадежно, потому что хакер может скачать документ с формой к себе на диск и поменять значение формы hidden. Некоторую пользу здесь может принести вышеупомянутая проверка HTTP_REFERER - но, как я уже говорил, никаких гарантий она не дает.

Определение пользователя по IP-адресу. В этом случае, после прохождения авторизации, где-нибудь в локальной базе данных (sql, dbm, да хоть в txt-файле) сохраняется текущий IP пользователя, а все скрипты защищенной части смотрят в переменную REMOTE_ADDR и проверяют, есть ли такой адрес в базе. Если есть - значит, авторизация была, если нет - "hacker? he-he..." :-) Это более надежный способ - не пройти авторизацию и получить доступ удастся лишь в том случае, если с того же IP сидит другой пользователь, успешно авторизовавшийся. Однако, учитывая распространенность прокси-серверов и IP-Masquerad'инга - это вполне реально.

Единственным, известным мне простым и достаточно надежным способом верификации личности пользователя является авторизация при помощи random uid. Рассмотрим ее более подробно.
Продолжение статьи: ч.1  Продолжение статьи: ч.2  Продолжение статьи: ч.3  Продолжение статьи: ч.4  Продолжение статьи: ч.5  Продолжение статьи: ч.6  Продолжение статьи: ч.7  Продолжение статьи: ч.8  Продолжение статьи: ч.9  Продолжение статьи: ч.10  Продолжение статьи: ч.11 

Другие статьи по теме:

- авторское право на программное обеспечение
- обзор сетевых функций php
- встроенные функции в php
- 21 ошибка программиста php
- приемы безопасного программирования веб-приложений
Голосование:
Чего Вы хотели бы видеть больше на сайте?

Статей, документации
Скриптов
Программ для вебмастера
Я не знаю



Другие голосования

Обмен кнопочками:



Приглашаем Вас обменяться кнопочками! Обращайтесь к администратору.


Новые статьи:
Как выбрать браузер
Средства структурного анализа и проектирования систем
Классификация case-средств
Case-технология проектирования программного обеспечения информационных систем
Технология intranet
Технологии Internet
Средства доступа к базам данных
Средства быстрой разработки прикладных программ
Объектно-ориентированный подход к созданию программных средств
Этапы проектирования при разработке программного продукта


Наши партнеры:





2006-2025 © SMTI.RU
Главная страница | Связаться с нами