Bejelentkezés megjegyzése mennyire biztonságos

 ( yoursoft | 2007. március 27., kedd - 21:50 )

Ha jól látom cookie-ban tároljátok a bejelentkezett státuszt.
Ha jól emlékszem, a múltkor találtam egy javascriptet amivel ki lehetett gyűjteni egy user összes cookie-ját, és elküldeni egy szervernek.
Ezen az alapon, lehet, hogy ezt a hozzászólást nem is én írom? :-)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A bejelentkezett statuszt nem, maximum a session ID-t (ami ellopasnal mindegy, viszont magadnak nem tudsz bejelentkezett statuszt generalni cookie hackelessel). Igazabol a session ID-t valahol tarolni kell, vagy cookie-ban, vagy az URL-ben, es akkor mar a cookie-s a jobb megoldas (az URL-bol is ugyanannyira (sot) el lehet lopni).
Az altalad emlitett tamadasi forma egyebkent tenyleg letezik (XSS a becsuletes neve), de itt jo esellyel nem tudsz sehova sem javascript kodot beilleszteni (ha igen, akkor _az_ sechole).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Próbáld ki:
- Jelentkezz be a hup-ra.
- kijelentkezés nélkül lépj ki a böngészőből.
- Pl. 1 nap múlva ha megnyitod a hup-ot, akkor automatikusan belépve találod magad.

A scriptet nem muszály a hup-on elhelyezni, elég ha sikerül valami olyan oldalon, amit tudsz, hogy pl. egy hup-os haverod használ, aki nem szokott minden új oldalváltásnál kijelentkezni.
Pl. regisztráltatod magad itt egy álnéven, elhelyezel egy érdekes blogot, egy külső linkkel, melyen van egy ilyen lopkodós script is mellesleg :-)

Korrektül generált sütit, korrekt browser csak annak az oldalnak (vagy az adott url/path páros alatt lévőnek) küldi vissza, akinek készült. Elvileg...

A session ID-t kell valahol tárolni, én amit alkottam, ott nem perzisztens sütit használtam, (meg a kinek adhatod oda? mezőket is korrekten kitöltöttem, etc.) és volt még néhány trükk (a szerveren volt nyilvántartva, hogy az adott süti mikor jár le, illetve ott tologattam a lejárati időt), minden esetre elég jól működött/működik, bár pont a bejelentkezett állapotnak a böngésző újraindításai közötti megtartását kellett kivédeni, ami sikerült is.

Rendes ember blokkolja a JS-t a NoScript-tel, és csak akkor kapcsolja be, ha az valóban indokolt.

"A scriptet nem muszály a hup-on elhelyezni, elég ha sikerül valami olyan oldalon, amit tudsz, hogy pl. egy hup-os haverod használ, aki nem szokott minden új oldalváltásnál kijelentkezni."

Azert ha ez igy mukodne, az komoly sechole lenne a bongeszoben (volt ilyen egyebkent talan firefox-ban, de azt mar eleg regen kijavitottak).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

A portálmotor fejlesztője a Drupal projekt. Az itt futó verzió ugyanaz, amit a webről le lehet tölteni. Mi nem foglalkozunk az oldal fejlesztésével, így a motor működésével kapcsolatos észrevételeidet célszerű a Drupal projeknek jelezni, mert ők tudnak vele érdemben foglalkozni.

--
trey @ gépház

Utána néztem, tényleg javascript kódot kellene injectálni a hup-ba ahhoz, hogy működjön.
Van rá egy példa url-em, de azt inkább most nem teszem közzé. :-)