Zdravím všechny programátory a vývojáře webů, už po xté jsem se setkal s problémem přesměrování na stránce, který vedl k snadnému prolomení bezpečnosti webu, typický příklad administrace, zkontrolujete zda-li je cookie nebo session prázdná a v případě vrácení hodnoty true přesměrujete, mnozí z programátorů tak vytvoří fatální chybu, otázka prolomení je 10 sekund.
Dejme si příklad, mám administraci na webu : /admin/admin.php
V souboru admin mám script, která zkontroluje, zda-li se uživatel přihlásil, pokud ne, tak ho to přesměruje nejspíše na index, tedy /admin/index.php a tam ho to poprosí o přihlášení, jde mi o kus kodu, kterým ho přesměrujete, tedy header...
Prosím všechny, kteří o tomto fatálním problému vědí, nepište to. - Napíši to sám v závěru
... na co jsem se v Nette podíval a co by většina programátorů napsala špatně, to bylo správně, vzorově. - Jakub Vrána
Do SZ mi píšete zbytečně, neboť problémy řeším pouze v tématech. Za radu je slušné poděkovat. Važ si rady, práci za tebe neudělám.
PHP, Nette, MySQL, C#, TypeScript, Python
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW
Ok, neuvedl jsem zdaleka všechny možnosti, kterými by to šlo provést, nic méně to nemění nic na tom, že by script měl po přesměrování skončit, nebot přesměrování jde vypnout, at už lokálně nebo globálně pro všechny weby, představme si tedy, že máme web, kde se uživatel přihlásí a přesune ho to do administrace, co v případě, že uživatel jde rovnou k souboru, kde se nachází administrace? Je to snadné, každý z nás by postupoval následně, nejprve bychom si ověřili relaci scriptu(session) nebo koláček(cookie), v případě neshody nebo neinicializované či ne setnuté cookie/session bychom uživatele přesměrovali zpět na přihlašovací formulář. Představme si ale situaci, že uživatel má zakázané přesměrování, poté se nám snadno dostane do administrace a bude moci částečně editovat, záleží podle systému.
Jsou dvě možnosti, první z nich je ukončení scriptu po přesměrování, uživatele to přesměruje a v případě zakázaného přesměrování se script zastaví, to je první možnost. Druhá možnost je ta, že můžeme logiku systému jako je třeba edit/insert apod. vložit do podmínky, ve které bude něco ve stylu "if($_SESSION['test'])" a logika aplikace se provede pouze v případě, že je uživatel přihlášen.
To je ode mne vše, možná si říkáte, proč jsem to sem vložil, jde o to, že pár dnů zpátky jsem opravoval web a narazil jsem na stejný problém a není to poprvé, takových webů je x.
... na co jsem se v Nette podíval a co by většina programátorů napsala špatně, to bylo správně, vzorově. - Jakub Vrána
Do SZ mi píšete zbytečně, neboť problémy řeším pouze v tématech. Za radu je slušné poděkovat. Važ si rady, práci za tebe neudělám.
Dělá se to prvním způsobem.
Navíc chybí autorizace v tom případě
PHP, Nette, MySQL, C#, TypeScript, Python
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW
No, tak když nechybí tak proč může kdokoliv dělat cokoliv?
PHP, Nette, MySQL, C#, TypeScript, Python
IntelliJ Idea, Docker, Opera browser, Linux Mint
iPhone XS
Raspberry PI 3 (KODI, Raspbian)
XBox One S, PS 4, nVidia GeForce NOW
Dobrý den, rád bych si nechal poradit s výběrem notebooku, který bude sloužit na programování + běžné domácí využití (úložiště osobních věcí, surfování na internetu). Na hraní mám konzole a na sledování obsahu TV.
Aktuálně tvořím na služebním ntb...
Poslední příspěvek
U levneho notebooku nelze zivotnost 5 let garantovat ani predpokladat.
Pokud ma notebook vydrzet, tak procesor co nejmene topi.
