Комментарии к статье ""
| 6.3.2001 18:58 Slach [] Очень прикольная статья... Половина web-mail ящиков... Работает на основе к.л. фриварных компонентов... например очень распостранен NeoWebMail или Horde IMP... Действительно реально работающий способ ;) Ответ DL: Я все удивляюсь, что народ изобретает яваскрипты и апплеты для прослушивания портов, когда все, что нужно взломщику, передается в открытом виде! :) |
| 6.3.2001 20:34 Borman [] Знаю одну систему онлайн магазинов, где всем желающим дают бесплатно открыть в нем свой отдел (на время или вроде того):) Ответ DL: Наверное, думали сделать удобнее покупателям. Но это же бред. :) () |
| 6.3.2001 20:35 Borman [] Если дыра - значит нора, если нора, значит Rabbit :) (VinniPooh) |
| 7.3.2001 11:22 ai а в целом никто даже не представляет, что можно сделать с серверами "ведуших н-ских" провайдеров работающих на фриваре Ответ DL: Не знаю, не знаю. Фривар этот, кажись, массового пользования, да и с деньгами связан. А вот почтовая система у каждого сервиса своя собственная. |
| 10.3.2001 20:09 Constant [] Ну не знаю. Я в свое время ради интереса что-то подобное делал (имеется ввиду защита). Делалось проще, генерился id по IP, паролю и чему-то еще - и во время генерации страницы - этот id сверялся и генерился заново и заносиля в базу. Такой способ был жесток для пользователя (при попытке рефреша он вылетал на логин) - но действовал - пока никто не сломал :)) Ответ DL: В форуме PHPClub обсуждается нечто похожее - я там тоже свой метод предложил. Две куки. В одной логин, в другой - хэш от времени загрузки страницы, хэша пароля и буквы "Ы". Программа лезет в базу, берет запись с таким логином, составляет хэш и сверяет его с полученным из куки. А! О! IP-то не проверяется!!! На hackzone же пишут, что яваскрипт может и куку выкусить. А значит, ее можно передать злоумышленнику. Да, проверку IP надо добавить. :) |
| 11.3.2001 00:00 lev [] НУ И ЧЕГО? Дыра стара как мир! Ответ DL: А я взлом автоматизировал :] Не, я не претендую на первооткрывание этого дела. |
| 18.3.2001 00:04 keeper [] А я пробовал такое но на основе SpyLog - там есть просмотр реферреров, откуда пришли на страничку. Создаем hello world (где-нибудь на народе), втыкаем в него spylog, рассылаем сслыку на страничку по бесплатным e-mail-ам. Потомо смотрим статистику странички. Но это для бедных - кто не хочет возиться с настройкой своего сервака. Ответ DL: Фокус заключается в том, что ящик забирается у пользователя в считанные секунды с момента обращения к "фотке" или нажатия на ссылку. |
table width="100%" cellpadding="0" cellspacing="0" >
Мне по барабану.
Во- первых мой гуард режет Referer
Во-вторых я батом почту беру.
Ответ DL:
Так разговор-то не про Бат :)
| 19.3.2001 04:23 alex [] А что делать, если в базу необходимо писать URL картинки, а потом отображать ее в броузере. И как защититься если под адресом картинки (как www.site.com/image.gif) находиться какой нибудь перл-скрипт или еще что-то? Ответ DL: Держать ID сессий в куках - пусть лучше пользователи их включают, чем потом жалуются на взлом. А иначе никак не защититься - входите, берите, что хотите. |
| 24.3.2001 23:20 fish [] Интересная идея о получении реферра, многие порно сайты, вернее их контент зашишен лишь проверкой рефера, каким образом можно формировать заголовок http запроса с помошью php? это конечно тот еще вопрос, но к зашите имеет отношение :) нужно как уже все наверное поняли для линкования картинок с платников :) Ответ DL: вот как раз об этом - вышел следующий выпуск :) |
| 28.3.2001 18:39 AK [] DL> яваскрипт может и куку выкусить. Как это?! Как я понимаю теорию, куки отдаются только на тот хост, с которого были записаны; т.е. если запрос http://main/index.php, в котором setcookie ('name', 'value'), то далее на обращения к index.php броузер пользователя будет отсылать этот кук. Но если я внутри index.php поставлю картинку с другого хоста (например: http://hacker/image.gif), то броузер не будет отправлять вместе с запросом мой кук, т.к. хост другой. Хорошо, если попытаться вместо image.gif подставить JavaScript, то тоже ничего не получится. Он просто не будет обработан, т.к. броузер по тэгу img ожидает получить картинку, а не текст. Вообще, как JavaScript может выкусить кук другого хоста? Я теряюсь в догадках. Где дырка? :) |
| 6.4.2001 17:01 kostysh [] имхо, лучше хттп-авторизации ничего нет... делал я как-то систему управления пользовательсскими сессиями для одного эл.м., так я там именно ее и использовал для авторизации пользователя, в куках только номер сессии хранил, для пользовательского баскета, а в таком случае, даже если тебе удалось узнать номер сесии, ты все равно в профиль пользователя без пароля не войдешь... вот так |
table width="100%" cellpadding="0" cellspacing="0" >
Прошу прощения, за то, что написано ниже, никого не хотел обидеть, есть один вопрос по существу существует ли шрифт Veranda? Если да, то где его можно взять, спасибо.
Ответ DL:
Стандарнтый шрифт Windows (или MS Office 97), кажется.
table width="100%" cellpadding="0" cellspacing="0" >
Почитай вторую главу генерации запросов, там я про ПОСТ написал
