[BETA] Diskuzní fórum Elektro Bastlírny

V pripade trvaleho prihlasenia sa do cookie ulozi nejaky nahodne generovany retazec, ktory s heslom nema nic spolocne. V spravne navrhnutom systeme ma obmedzenu platnost - casovo aj IP adresou.

Kedze tento retazec je takmer ekvivalentny k heslu (da sa nim prihlasit - aj ked by to malo byt obmedzene: pre dolezite operacie byva nutne vzdy zadat heslo), v databaze by mal byt tiez ulozeny len jeho hash.

Dufam, ze eBay ma tieto veci vyriesene na urovni.

Ano, pokud je v cookies uloženo jen SSID a zbytek věcí je na serveru, tak je to v pořádku.

ano, měnil...

ZdenekHQ píše:Ano, pokud je v cookies uloženo jen SSID a zbytek věcí je na serveru, tak je to v pořádku.

Nedokážu si představit, jaký stránky by ještě v dnešní době měli udělané přihlášení jen tím, že by údaje ukládaly do cookies, kór takový velikán jako je eBay. Další věc je, že pokud nějaké stránky uchovájají nějaké citlivé údaje, tak to musí podléhat většímu zabezpečení proti krádeži, což je podle mě uvedeno nejspíš i někde v zákonu, ale tím si nejsem jistý, tak nechci moc kecat.

Já jsem si taky myslel, že OpenSSL jen tak na běžný ping nemůže odeslat kopii části paměti serveru, navíc při každém dotazu jinou. Programátoři jsou velmi často prasata, zabezpečí front door, ale na zbytek se vykašlou.