Forum Webscript.Ru

Разное => Флейм => Тема начата: Kuulest от 12 Апреля 2002, 13:12:55

Название: Pro \'lamerov\'
Отправлено: Kuulest от 12 Апреля 2002, 13:12:55: Privet vsem!
Srazu skaju chto ya ne schitayu sebya kuul hazkerom itd (eto je prosto smeshno), NO..vchera ya prochital statyu Alekseya Kulikova ( vot url: http://www.webscript.ru/stories.php3?story=02/03/12/6871598 ), v kotoroy sey nedalekiy avtor reshil nakonez to nas (raz i na vsegda) nauchit ispolzovat sessii. Konechno pohvalknaya zateya, no prochitav statyu gde to do seredini ya zametil, chto chto etu statyu on naglo perepisal so stat\'i Dmitriya Borodina(http://php.spb.ru/php/session.html). Tam ne to chto smisl tot je samiy tam paragrafami odno i to je idet(CopyPaste vo vsey krase). Koroche dostali uje eti idioti kotorie sami ni figa sdelat ne mogut, no i sidet spokoyno im toje ne v moch.
Ya ponimayu chto navernoe ya mnogo proshu no net li vozmojnosti u moderirovaniya puplikazii statey?

ZI: Da kstati esli u menya proyavlenie boleznenoy shepitilnosti skajite mne ob etom, no ya deystvitelno psihanul.

Vsem salyut!
Stay KUUL.
Название: Pro \'lamerov\'
Отправлено: NeoNox от 12 Апреля 2002, 13:28:53: Цитировать
Tam ne to chto smisl tot je samiy tam paragrafami odno i to je idet(CopyPaste vo vsey krase). Koroche dostali uje eti idioti kotorie sami ni figa sdelat ne mogut, no i sidet spokoyno im toje ne v moch.

А примеры копи-пасте можно привести?
Я пробежался по обеим статьям и "слово в слово" ничего не нашел :(

ЗЫ. Если уже обвинять человека, так нужно чем нибудь это доказать.. Хотя для некоторых это не факт :(
Название: А примеры копи-пасте можно привести?
Отправлено: Kuulest от 12 Апреля 2002, 13:40:59: A:::
Хоть сессию подделать нельзя, но существуют следующие непредвиденные случаи:

* на компьютере посетителя побывал злой хакер, который поставил злую программу, ворующую пароли от интернета (статья N##) и номера сессий
* между компьютером посетителя и сервером сидит злой хакер и видит все, что передается. Конечно, есть защищенный (зашифрованный) протокол SSL, но это увы везде не внедрить
* к компьютеру нашего посетителя подошел злой сосед и стащил этот номер сессии

Как видите, все основано на том, что кто-то что-то у кого-то стащит. Но это уже не проблема программиста
B:::
Поэтому злоумышленнику остаются следующие возможности:

· на компьютере пользователя стоит «троян», который ворует номера сессий;

· злоумышленник отлавливает трафик между компьютером пользователя и сервером. Конечно, есть защищенный (зашифрованный) протокол SSL, но им пользуются не все;

· к компьютеру нашего пользователя подошел сосед и стащил номер сессии.

Такие ситуации, основанные на том, что кто-то что-то у кого-то стащит, в общем, не входят в компетенцию программиста.

===================================================

A::::
Запомните главное - если суметь передать идентификатор от одной страницы (PHP-скрипта) до другой (до следующего вызова с нашего сайта), то мы сможем различать всех посетителей.Больше, от не удобного для программиста Web\'а, ничего не требуется. Так как мы выбрали очень больше число, то не существует ни малейшего опасения, что злой хакер подделает число, тем самым воспользуется чужой областью данных. Запомните еще одну главную мысль - подделать сессию или идентификатор нельзя. Число из 128 бит (это 2 в 128 степени) в десятичном представлениим имеет 38 нулей.
B:::
Итак, мы умеем передавать идентификатор от одной страницы (PHP-скрипта) к другой (до следующего вызова с нашего сайта), а значит мы можем различать всех посетителей сайта. Так как идентификатор сессии – это очень большое число (128 бит), шансов, что его удастся подобрать перебором, практически нет.
===================================================
Eto pro paragrafi, esli je vi prochtete vnimatelno obe stati to u vas skoree vsego slojitsya sleduyushee mnenie: avtor vtoroy stat\'i proizvel na svet kastrirovannuyu versiyu stat\'i nomer odin dopolniv
ee svoimi skudnimi znaniyami (minut za desyat do etogo pocherpnutih iz man\'a)
Название: Pro \'lamerov\'
Отправлено: AliMamed от 12 Апреля 2002, 13:48:10: Цитировать
А примеры копи-пасте можно привести?

да-да а то я долго тупил с поиском, но чего то не нашел=) может этот извращенный плагиатор ко\'пил по одному слову и пейстил в разбивку, чтобы нас сбить с толку?=)
Название: Pro \'lamerov\'
Отправлено: Kuulest от 12 Апреля 2002, 13:51:10: Цитировать
да-да а то я долго тупил с поиском, но чего то не нашел=) может этот извращенный плагиатор ко\'пил по одному слову и пейстил в разбивку, чтобы нас сбить с толку?=)

Vrode kak ya na eto uje otvechal :)
Название: Pro \'lamerov\'
Отправлено: NeoNox от 12 Апреля 2002, 14:02:08: Мое мнение, это два взгляда на одну и туже проблему... Где "копи-пасте"? Плагиата здесь я не увидел. ИМХО нельзя описать один и тот же вопрос не повторившись в структуре. Не удивлюсь если первоночальным источником был http://www.php.net/docs.php.

ЗЫ. Я бы все таки не употреблял слов "ламер" и "идиот".
ЗЫЫ. Действительно, это твое воображение.
Название: ЗЫЫ. Действительно, это твое воображение.
Отправлено: Kuulest от 12 Апреля 2002, 14:04:59: Okay
Название: Pro \'lamerov\'
Отправлено: Dm от 12 Апреля 2002, 20:40:29: Сессии вроде в PHP как были, так и остались по сей день.
Следовательно, встречаются одни проблемы.
В данной статье автор подошел немного с другого ракурса.
Хотя, то, что он не указал ссылки на существующие материалы - плохо.

Цитировать
Pro \'lamerov\'

так и не понял, они то что тут делают?
или ты про себя?