• новости
• статьи
• п.о.
• мнения
• ссылки
• о проекте

Реклама

-- АРХИВЫ -- Август 2015 Июль 2015 Июнь 2015 Май 2015 Апрель 2015 Март 2015 Февраль 2015 Январь 2015 Декабрь 2014 Ноябрь 2014 Октябрь 2014 Сентябрь 2014 Август 2014 Июль 2014 Июнь 2014 Май 2014 Апрель 2014 Март 2014 Февраль 2014 Январь 2014 Декабрь 2013 Ноябрь 2013 Октябрь 2013 Сентябрь 2013 Август 2013 Июль 2013 Июнь 2013 Май 2013 Апрель 2013 Март 2013 Февраль 2013 Январь 2013 Декабрь 2012 Ноябрь 2012 Октябрь 2012 Сентябрь 2012 Август 2012 Июль 2012 Май 2012 Апрель 2012 Март 2012 Февраль 2012 Январь 2012 Декабрь 2011 Ноябрь 2011 Октябрь 2011 Сентябрь 2011 Август 2011 Июль 2011 Июнь 2011 Май 2011 Апрель 2011 Март 2011 Февраль 2011 Январь 2011 Декабрь 2010 Ноябрь 2010 Октябрь 2010 Сентябрь 2010 Август 2010 Июль 2010 Июнь 2010 Май 2010 Апрель 2010 Март 2010 Февраль 2010 Январь 2010 Декабрь 2009 Ноябрь 2009 Октябрь 2009 Сентябрь 2009 Август 2009 Июль 2009 Июнь 2009 Май 2009 Апрель 2009 Март 2009 Февраль 2009 Январь 2009 Декабрь 2008 Ноябрь 2008 Сентябрь 2008 Август 2008 Июль 2008 Июнь 2008 Май 2008 Апрель 2008 Март 2008 Февраль 2008 Январь 2008 Декабрь 2007 Ноябрь 2007 Октябрь 2007 Сентябрь 2007 Август 2007 Июль 2007 Июнь 2007 Май 2007 Апрель 2007 Март 2007 Февраль 2007 Январь 2007 Декабрь 2006 Ноябрь 2006 Октябрь 2006 Сентябрь 2006 Август 2006 Июль 2006 Июнь 2006 Май 2006 Апрель 2006 Март 2006 Февраль 2006 Январь 2006 Декабрь 2005 Ноябрь 2005 Октябрь 2005 Сентябрь 2005 Август 2005 Июль 2005 Июнь 2005 Май 2005 Апрель 2005 Март 2005 Февраль 2005 Январь 2005 Декабрь 2004 Ноябрь 2004 Октябрь 2004 Сентябрь 2004 Июнь 2004 Май 2004 Апрель 2004 Декабрь 2003 Март 2003 Февраль 2003 Октябрь 2002 Сентябрь 2002    Архив сайта
  

Поиск

Допускается использование ключевых слов AND, OR и NOT.

Обсуждения

• Google: бесплатный антивирус для всех желающих (22)
• "Мамба" удалила десятки миллионов анкет (184)
• Компания «Google» провела ребрендинг логотипа и меню (1)
• Растолкованный PageRank (Часть 5) (1)
• "Сам себе режиссер" - теперь и в Интернете (302)
• Сервисом Apple Music пользуются 11 млн человек (1)
• В России появится аналог eBay и Amazon (1)
• Браузеры: Вышел Internet Explorer 7 Beta 2 (5)
• Теперь создать социальную сеть сможет каждый (174)
• В России более 700 сайтов может быть заблокировано (2)

Статьи

• 12.02.06 CMS с desktop-клиентом - за и против (Часть 2)
• 11.02.06 CMS с desktop-клиентом - за и против (Часть 1)
• 11.02.06 JavaScript и объектная модель (Окончание)
• 10.02.06 JavaScript и объектная модель (Начало)
• 09.02.06 Направления развития веб-технологий в 2006 году (Окончание)

Программы

• 02.02.06 Браузеры: Вышел Internet Explorer 7 Beta 2
• 02.12.05 Популярный браузер Mozilla Firefox обновился до версии 1.5
• 13.07.05 PHP 4.4.0
• 30.06.05 Nvu 1.0
• 17.06.05 OptiPerl 5
• 09.06.05 MSN Search Toolbar
• 24.05.05 mod_perl 2.0.0
• 20.05.05 Netscape 8
• 19.04.05 Opera 8
• 13.04.05 ActiveState Komodo 3.1

Ноябрь 10, 2005

Приемы безопасного веб-программирования на PHP (окончание)

Форма uid невидима для пользователя, но она передается скрипту защищенной части приложения.

Тот сличает переданный ему uid с uid'ом, хранящимся в локальной базе и либо выполняет свою функцию, либо... "hacker? he-he...".

Единственное, что необходимо сделать при такой организации - периодически чистить локальный список uid'ов и/или сделать для пользователя кнопку "выход", при нажатии на которую локальный uid пользователя сотрется из базы на сервере - сессия закрыта.

Некоторые программисты используют в качестве uid не "одноразовое" динамически генерирующееся число, а пароль пользователя. Это допустимо, но это является "дурным тоном", поскольку пароль пользователя обычно не меняется от сессии к сессии, а значит - хакер сможет сам открывать сессии. Та же самая модель может быть использована везде, где требуется идентификация пользователя - в чатах, веб-конференциях, электронных магазинах.

В заключение стоит упомянуть и о такой полезной вещи, как ведение логов. Если в каждую из описанных процедур встроить возможность занесения события в лог-файл с указанием IP-адреса потенциального злоумышленника - то в случае реальной атаки вычислить хакера будет гораздо проще, поскольку хакеры обычно пробуют последовательно усложняющиеся атаки. Для определения IP-адреса желательно использовать не только стандартную переменную REMOTE_ADDR, но и менее известную HTTP_X_FORWARDED_FOR, которая позволяет определить IP пользователя, находящегося за прокси-сервером. Естественно - если прокси это позволяет.

При ведении лог-файлов, необходимо помнить, что доступ к ним должен быть только у Вас. Лучше всего, если они будут расположены за пределами дерева каталогов, доступного через WWW. Если нет такой возможности - создайте отдельный каталог для лог-файлов и закройте туда доступ при помощи .htaccess (Deny from all).

Я буду очень признателен, если кто-нибудь из программистов поделится своими не описанными здесь методами обеспечения безопасности при разработке приложений для Web.

Разместил:

Автор:

Ваш комментарий

Обсудить на форуме?

Подумайте, прежде чем высказать своё мнение. Постарайтесь сделать свой комментарий полезным для других. Не используйте ненормативную лексику. Пользователи, пишущие "от нечего делать" бессмысленные наборы символов, будут блокироваться навсегда.

Имя:
Комментарий:
Цифровой код:
	Уверены?

Скачать приложение казино

©2002-2007 NBSP.RU
Все права защищены.   |   Ссылки, Полезные заметки