Aleksejs

Tāpēc, ka ~lietotajs nav $_GET mainīgais.

volvoklubs saka, ka lapa neeksistē... HTTP request failed! HTTP/1.1 404 Not Found varbūt pēdiņu vaina... vai arī foruma skripts atseko, ja nav padoti pārlūkam raksturīgie headeri...

Ja var visu realizēt caur AJAXu, tad jā - uzģenerē izmanto sev kaut vai vienkārši mainīgo - lapa nevienu brīdi nepārlādējas (pārlūka izpratnē), taču dati skraida. Vienīgi... kā ar SEO utt tādā gadījumā?

to Q jāsaglabā kā cookiju, tad tas sūtīsies ar katru pieprasījumu... Vienīgi bilžu/utt resursus, kas nav jāaizsargā jānoliek tādā pathā, lai uz tiem nesūtītu neko tādu. Arī AJAX variants darbotos (jo ja jau varam LocalStorage izmantot, tad AJAXam jāiet bez problēmām).

Pārdomas par to, kā realizēt aizsardzību bez SSL (vai ar minimālu SSL iesaisti). Ja ir pieejams jauns pārlūks un LocalStorage. 1) Cilvēks atver pārlūkā login lapu. 2) Serveris izveido sesiju, uzģenerē un piesaista sesijai virkni RND1 un arī nosūta RND1 cookiju un SID cookiju. 3) Cilvēks ievada un nosūta username. 4) Serveris atrod šo username DB un tam atbilstošās sāls S un paroles hasha H vērtības(vai ja tāds username neeksistē uzģenerē kautko randomā), kuru izmanto, lai izrēķinātu hmac(H,RND1)=K un saglabā sesijā šo K, izveido, saglabā sesijā RND2 un nosūta AES_CBC(RND2,K) un S. 5) Cilvēks ievada paroli P, no kuras pārlūks izmantojot S dabū H. izmantojot RND1 un H tāpat kā serveris - dabū K, kuru saglabā savā localstorage, tur pat saglabā arī atšifrēto RND2=RND2 + 1. Serverim atpakaļ sūta nemainīgu SID (lai serverpusē var identificēt sesiju) un hmac(SID . RND2,K)=Q 6) Serveris pārbauda vai viņa pusē ģenerētais Q sakrīt ar klienta atsūtīto. 7) Pie katra pieprasījuma klients palielina RND2 par 1 un ģenerē atbilstošu Q. Sarežģīti & piņķerīgi. :D Edit: Papildinājums no autora (vakardien FireSheep bija desmitais meklētākais vārds googlē ASV teritorijā) http://codebutler.com/firesheep-a-day-later

1) Jā 2) Piņķerīgāk, bet jā.

Jā, tā ir. Vislētākie (vismaz pirms pus gada) no tiem, kas ir visos pārlūkos ir GoDaddy sertifikāti. ~50$ gadā.

Pirms dažām dienām uzradās jauns Firefox plugins Firesheep - http://codebutler.com/firesheep Īsumā - tas ļauj veikt sesiju pārtveršanu "session highjacking" cilvēkieb bez jebkādām priekšzināšanām, kas nozīmē, ka jebkurš zaļknābis var uzinstalēt šo pluginu, pieslēgties neaizsargātam WiFi vai nesvičotam tīklam (piemēram bezmaksas wifi kafejnīcās vai tie daudzie wifji, kas ir mājās bez parolēm) un pārtvert strādājošas citu cilvēku Facebook/Twitter/(potenciāli arī draugiem)/u.c. neazsargātās sesijas. Kaut gan sesiju pārtveršana nav nekāds jaunums - svarīgā lieta ir tas, ka šis rīks ļauj cilvēkiem bez gandrīz nekādām priekšzināšanām un pieredzes par to kā tiek veikti šie uzbrukumi (kā piemēram jūsu brālim/māsai greizsirdīgajai draudzenei/draugam, klasesbiedram utt) sekmīgi veikt šo uzbrukumu. Tomēr nevajag arī pārlieku satraukties, jo tomēr šis konkrētais uzbrukuma rīks ir lokāli ierobežots (uzbrucējam jāatrodas kaut kur starp jums un serveri un šī vieta šī rīka kontekstā ir jūsu subnets). Kā Chris Wysopal twitterā teica: "#firesheep is to cleartext web sessions as chainsaws are to trees. Everyone gets to be a lumberjack." Ko darīt kā lietotājam: Izvairīties no neaizsargātu tīklu izmantošanas; izmantot SSL kad vien iespējams; izmantot pluginus, kas piespiež izmantot SSL (protams, ja tāds konkrētajam portālam ir pieejams). Ko darīt kā izstrādātājam: Nodrošināt, ka sesijas ID ir labi pasargāts - izmantot SSL lai aizsargātu sesijas cepumus. Neviena cita alternatīva īsti prātā nenāk. Piesiet sesijas ID klienta IP adresei varētu nebūt efektīvs risinājums, jo šis konkrētais rīks ja tiks izmantots tad tiks izmantots no tā paša subneta un līdz ar to uz āru tiks rādīta tā pati NATotā IP adrese kā upurim. http://stackoverflow.com/questions/22880/what-is-the-best-way-to-prevent-session-hijacking Vēl resursi: Autora prezentācija (pārslēgt slaidus var ar klaviatūras bultiņām) - http://codebutler.github.com/firesheep/tc12/#1 http://www.h-online.com/security/news/item/Firefox-extension-steals-Facebook-Twitter-etc-sessions-1124596.html http://blogs.pcmag.com/securitywatch/2010/10/with_firesheep_all_your_http_s.php http://www.f-secure.com/weblog/archives/00002055.html + Šīs pašas tēmas paziņojums iekš boot.lv http://www.boot.lv/forums/index.php?/topic/131434-firesheep-sesiju-partversana-tejkannam/

feci quod potui faciant meliora potentes

Hmm, nu tad sāc pamazām šo to apgūt :) Nekas pārcilvēciski sarežģīts tas nav.

The domain name you are looking for is already registered but not in active use! Detailed information, the policy and registration form can be found at http://www.nic.lv/DNS (~; Bet paldies par head-start! :D

O! Paldies! Nezināju par šo. Un kā tas ietekmē "execution plan"? (nav šobrīd nekā pa rokai kur notestēt)

LIMIT -1, 1 nozīmē atgriezt vienu ierakstu sākot ar mīnus pirmo atgriezto. NU NEDRĪKST -1 PADOT! http://dev.mysql.com/doc/refman/5.0/en/select.html

found_rows() taču iedos limitētā vaicājuma atgriezto rindu skaitu...

aha - tādēļ, ka nespēj izvadīt mīnus pirmo atgriezto rindu (~;

Apstrādā kļūdas! Kaut vai šādi: if(isset($_GET['cat'])){ $sql=mysql_query("SELECT * FROM movie WHERE category = '".(int)$_GET['cat']."' ORDER by id LIMIT $from, $max_results") or die(mysql_error()); }else{ $sql=mysql_query("SELECT * FROM movie ORDER BY id LIMIT $from, $max_results") or die(mysql_error()); } un total_results tev būtu jānoskaidro vēl pirms pašas datu atlases, tad arī varēsi zināt, vai padotais $from nav pārāk liels. vai $max_results = 1 ir ok? $from = (($page * $max_results) - $max_results); // gadījumā, ja $page == 1, tad $from = 1*1-1 = 0;

Skaties kā tur ir tas LIMIT izmantots un kabini saviem vaicājumiem galā.

http://php.lv/f/topic/2935-neliels-foruma-temu-apkopojums-no-arhiva-sadalas/ un meklē vārdus "pa lappusēm"

Nu, var mēģināt iesaistīt flashu/csv utt... sifr/flir/cufon utt...

Robert - ar serifu tam nav nekāda sakara.

Lai rādītu kā www.stn.lv... echo 'Sapliisa viss :['; (~;

Kur ir problēma?

Lūk, resursi, ar kuriem vari iepazīties... http://www.arraystudio.com/as-workshop/the-captcha-alternatives.html http://dmytry.pandromeda.com/texts/captcha_and_saptcha.html http://www.evengrounds.com/developers/alternatives-to-captcha http://stackoverflow.com/questions/1448665/alternative-captcha-methods

Savādi, ka nedarbojas - pats baigi sen tā neesmu darījis, taču kad darīju - viss darbojās.

Personas datu aizsardzības likums ļauj nepubliskot šo informāciju, ja klients ir tādu vēlēšanos izrādījis.