Forum Webscript.Ru

Программирование => Perl => Тема начата: от 29 Января 2002, 09:55:55

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 29 Января 2002, 09:55:55

А конкретно меня интересуют ваши мысли по поводу администрилки (защита, возможности и т.д.)
Администрилка находится на:
http://teleport.volsu.ru/cgi-bin/faq/admin.cgi
Сам скрипт FAQ я набросал на:
http://teleport.volsu.ru/cgi-bin/faq/faq.cgi
Но его критиковать не стоит, я его написал за 5 минут и его цель- просто отправлять вопросы на проверку администратору.
С уважением, Сергей ( kwazar@volsu.ru )

Название: Дырочка
Отправлено: APL от 29 Января 2002, 13:40:52

ИМХО некорректно передавать в каждой форме пароль и логин. Человек может посмотреть кэш и получить их.

см. как сделано у меня: http://www.fotocenter.spb.ru/

login: apl
password: 22


P.S.: Кстати, попробуй на своем движке текстовую ссылку в администрировании поставить....

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 29 Января 2002, 14:14:04

А можно поподробнее алгоритм (как я понял у вас используется перекодировка пароля). И как с программной точки зрения это корректно выполнить (я про перекодировку).
Заранее спасибо.
С уважением, Сергей

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 29 Января 2002, 14:17:17

Что касается текстовой ссылки, то пароль и логин, я данные (включая пароль) передаю методом post.А метод get у меня отсекается (Что ни делай, все равно выйдешь на форму ввода пароля).

Название: Ответ Чемберлену:
Отправлено: APL от 29 Января 2002, 14:30:51

Насчет форм - см. выше о текстовых ссылках (как ты их в таком случае будеш реализовывать)

Алгоритм.

Человек заходин на сайт.

1. Проверяется есть ли у него в куках идентификатор. (если есть - проверяется есть ли он в базе и не наступил ли таймаут неактивности) (в базе хранится id, creation time, last access time, ip), если куки пусты (или отключены) - проверяется не передан ли идентификатор как параметр.
2. Проверяется корректность ip.

3.1 Если все условия выполнены - ок.
3.2 Нет - выделяется новый уникальный id и соотв. записываются данные (см. выше в базу) и пишутся куки в заголовок (без указания срока действия - т.е. они анулируются при закрытии окна броузера)

Логин и пароль хранятся в отдельной базе (login, password, current user id, creation time, last access time)

Ну вообщем понял идею?

Могу кинуть сорцы. (Но я там еще одну фишку придумал в авторизации (но еще в голове не скомпилилась пока :)

Название: Пароль ХРАНИТСЯ ТОЛЬКО НА СЕРВЕРЕ! На локальной машине не сохраняется нигде и никогда
Отправлено: APL от 29 Января 2002, 14:43:36

Никаких перекодировок.
Кстати и на серваке (MySQL базы) он хранится не в зашифрованном виде для того чтобы чел мог получить его по почте

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: APL от 29 Января 2002, 14:58:24

Цитировать

Что касается текстовой ссылки, то пароль и логин, я данные (включая пароль) передаю методом post.А метод get у меня отсекается (Что ни делай, все равно выйдешь на форму ввода пароля).

Человек может посмотреть кэш на той машине, где работал админ и получить и логин и пароль :)

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 29 Января 2002, 15:05:41

Так каой же выход?

Название: см. выше. то что писал ранее.
Отправлено: APL от 29 Января 2002, 15:11:09

в моем случае пароль не получить при всем желании. разве что сломав mysql или получить ftp\'шный пароль/логин...

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 29 Января 2002, 15:44:20

А если надо использовать текстовую базу?
Можно конечно после ввода пароля запоминать ip до выхода, но это значит, что одновремено могут сидеть и админ и хакер (ip подменить в http заголовке запроса подменить, как нефиг делать).

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: APL от 29 Января 2002, 15:48:57

Цитировать

А если надо использовать текстовую базу?

То же самое только другой способ хранения данных... разве это есть проблема?

Цитировать

Можно конечно после ввода пароля запоминать ip до выхода, но это значит, что одновремено могут сидеть и админ и хакер (ip подменить в http заголовке запроса подменить, как нефиг делать).

ip запоминается не после ввода пароля а при выделении идентификатора...
хакер должен знать идентификатор, ip и суметь его подменить... но тогда остается только использовать ssl и ему подобные вещи...

алгоритм не претендует на абсолютную защищенность...

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 30 Января 2002, 14:23:15

APL
ты можешь кинуть сорсы насчет работы с паролем? :)
Заранее ПасиБ :)

мыло azakir@mail.ru

Название: Завтра кину... подготовлю только
Отправлено: APL от 30 Января 2002, 15:35:07

сабж

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 30 Января 2002, 15:55:15

Пожалуйст а и мне...
E-mail: kwazar@volsu.ru

Название: комментарий
Отправлено: APL от 30 Января 2002, 16:05:10

только я кину с использованием mySQL... сами перепишите если кому в текстовых базах надо...

Название: комментарий 2
Отправлено: APL от 30 Января 2002, 16:09:01

заранее извиняюсь (не кидаться камнями) за возможную неоптимальность некоторых вещей....

т.к. на самом деле кину я только часть большого, практически универсального комплекса разных процедур, который я использую почти во всех проектах и который постоянно совершенствуется.

Название: Народ, я тут скрипт FAQ дописываю, нужна критика!
Отправлено: от 05 Февраля 2002, 12:13:24

Все скрипт я доработал. Систему защиты я оставил в этой версии такую же, но в уже готовой она полностью переделанна.
Результат моей работы вы можете посмотреть и скажать на:
http://www.webscript.ru/scripts/Detailed/349.php3
Теперь принимаюсь за переделку скрита статей.