Komentarze

Nie ma jak to profesjonalizm:) Nie jest to krytyczna luka systemu... No jasne bo można przejąć tylko każde konto:)

Robicie z igły widły. Oczywiście, że nie jest to krytyczna luka systemu, ponieważ aby komuś ukraść ciasteczko trzeba najpierw włamać się do tego kogoś na kompa.

hahahaha, a jak niby przed takim czyms mozna sie zabezpieczyc bez ssla?

Podniecają tym, że mają SSL-a... :|

A wystarczy sprawdzać User-Agent użytkownika za każdym razem i wysyłać nowy identyfikator, jeśli się nie zgadza... ^^

Faktycznie, dla n-k pracują idioci...

asd User-Agent można spoofnąć. Lepiej IP sprawdzić.

niektorzy maja zmienne ip zewn. (zmieniajace sie co pare minut), wiec sprawdzanie IP odpada.

A kto powiedzial, ze nie mozna sprawdzac paru naraz albo wspomoc sie javascriptem? :P

http://pl2.php.net/manual/en/function.session-regenerate-id

Luka powszechna, poza szyfrowaną transmisją nie ma dobrego rozwiązania(weryfikacja ip nic nie da (a może zaszkodzić) w warunkach w których atak jest możliwy), atak jest wyjątkowo trudny do praktycznego wykorzystania (własciwie tylko źle skonfigurowane lan'y stwarzają zagrożenie) - słowem sezon ogórkowy w pełni? (I jeszcze poziom "ekspertów" w ostatnich latach ma tendencję dziwnie spadkową.)

a co się stanie, gdy usunę ciasteczka n-k po załadowaniu strony z logowaniem ssl ? czy to zwiększa czy zmniejsza bezpieczeństwo ?

nasza-klasa jest do bani, przypomina portal fotka.pl To tyko zaspokajanie własnej ciekawości, jak kto wygląda, jaka szkole skończył , jak mu się ułożyło. Bardzo dobrze ze mają problemy z bezpieczeństwem. Byle tak dalej. może zbankrutują. haha

wiktor - wyloguje cię

Jak to żaden inny serwis społecznościowy nie loguje przez ssl??
znajomi.interia.pl i cała masa innych..
Z resztą, co za różnica czy społecznościowy czy jaki kolwiek inny? Autoryzacja to autoryzacja, byle bezpieczna.

Szambelan widzę w formie.

moznaby sprawdzac user agenta i pierwsze dwa czlony ip (wtedy nie elminujemy wszystkich, ale spoza zakresu nikt by nie wszedl na konto)..