05
Ноя
2017

Как защитить авторизационные куки от кражи? Как защита устроена в VK, OK и проч?

Всем привет! Как сделать так, чтобы куки с хэшированным паролем и id пользователя не могли быть получены другим сайтом, кроме моего?

Сейчас защита на сайте ломается в два этапа: 1. Я авторизуюсь как пользователь и захожу с браузера на свой сайт, он мне кидает запрос на куки с хэшированным паролем и id - они запрашиваются каждый раз и сверяются при каком-либо ответственном действии на сайте. 2. Я этот запрос сохраняю, затем создаю серый ресурс, который кидается скопированным запросом. И проблема такая, что когда я захожу на серый ресурс(случайно или умышленно) - браузер получает скопированный запрос и отправляет куки, сохраненные для белого сайта XD В итоге пока хэшированные значения не изменились - теоретически я могу зайти с другого браузера с этими значениями вместо другого пользователя, которого я "взломал"

Подскажите - как разобраться( и как грамотные люди разбираются с этой проблемой? )

P.S. с ресурсами типа vk.com ok.ru avito.ru и прочими крупными соц сетями такой фокус не работает?

Можно ли ограничить отправку куков по домену?

И как вам решение менять и перезаписывать хэшированные значения каждый раз при совершении действия на сайте, которое требует ввода этих значений?

Всем спасибо!

Источник: https://ru.stackoverflow.com/questions/740618/%D0%9A%D0%B0%D0%BA-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B8%D1%82%D1%8C-%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B5-%D0%BA%D1%83%D0%BA%D0%B8-%D0%BE%D1%82-%D0%BA%D1%80%D0%B0%D0%B6%D0%B8-%D0%9A%D0%B0%D0%BA-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B5%D0%BD%D0%B0-%D0%B2-vk-ok-%D0%B8-%D0%BF%D1%80%D0%BE%D1%87

Тебе может это понравится...

Добавить комментарий