Stopp Posted September 24, 2006 Report Posted September 24, 2006 vai kāds cits, izmantojot javascriptu vai dajebko citu, var izmainīt manas lapas hidden lauka vērtību, ja tā mana lapa ir atvērta ? paldies.
Stopp Posted September 24, 2006 Author Report Posted September 24, 2006 šit :D kādā veidā tas ir iespējams un kā pret to var cīnīties ?
Toms Posted September 24, 2006 Report Posted September 24, 2006 Takš validē arī hidden lauka info tāpat kā validē login lauka inputu... Un novērst nevar, lai kāds cits nevarētu izmainīt.
john.brown Posted September 24, 2006 Report Posted September 24, 2006 simts un 1 veidā :) Pats primitīvākais - saglabā uz diska, notepadā izmaini visu, ko gribi, un posto ;) Cīnīties - neglabāt hidden laukā "ļoti svarīgas" vērtības, bet izmantot sessiju priekš tā, pārbaudīt, vai tu tiešām saņem to, ko gaidi :) Īpaši paranojiskos gadījumos var dublēt sessiju un hidden, tad salīdzināt, vai sakrīt, un ja nē - skaļi bļaut "turiet zagli!" ;) Nu u.t.t.
Stopp Posted September 24, 2006 Author Report Posted September 24, 2006 (edited) nē nu lieta tāda - es uztaisu kaut kādu nebūt drošības sistēmiņu (piem. sesijā saglabājas kaut kāds cipars un tad pie postošanas ir viens hidden lauks, kurā ir tā cipara dubults md5 un tad pēc procesēšanas tiek parbaudīts, nu kaut kā tā), tā kā no ārpuses, tajā primitīvajā veidā, neviens neko nevarēs izdarīt. galvenais, lai neizmaina tā lauka vērtību, kamēr tā mana lapa ir atvērta. Edited September 24, 2006 by Stopp
bubu Posted September 24, 2006 Report Posted September 24, 2006 Izmainīt var. Arī atvērtā lapā. Ar vienkāršu bookmarkletu: document.getElementById("iddd").value = "xxx"; (getElementById vietā protams var sarakstīt sazin kādu citu veidu kā dabūt elementu).
Stopp Posted September 24, 2006 Author Report Posted September 24, 2006 šit, nav labi :P nu ok, paldies par informāciju.
Delfins Posted September 25, 2006 Report Posted September 25, 2006 es nesaprotu, kāpēc tev tas cipars jāsūta, ja viņš tev sesijā ir!?
Kavacky Posted September 25, 2006 Report Posted September 25, 2006 Pirms sargāt banku, nosargā ciema veikalu.
Stopp Posted September 25, 2006 Author Report Posted September 25, 2006 es nesaprotu, kāpēc tev tas cipars jāsūta, ja viņš tev sesijā ir!? nav. ideja bija par vienu javaskripta spēlīti, kur tu kaut ko izdari, tavs rezultāts ierakstas kādā laukā un tad forma procesējas. lauku izmainīšana ir šmaukšanās ;)
Stopp Posted September 25, 2006 Author Report Posted September 25, 2006 rezultāts ir laiks (t.i. tiek iedarbināts taimeris), bet tas nav būtiski, jo to spēli es netaisīšu ;)
Delfins Posted September 25, 2006 Report Posted September 25, 2006 nu ko lai saka... jāsūta kodēts strings. bet atkal - tā kā tas ir JS, tad visus priv/pub-key redzēs, ar ko kodē. Risinājums ir tikai flash objekts, kurā iekšā iešūts KEY, ar kuru nokodē datus. Bet tur atkal jāskatās, lai to fleshu nedekompilē... būs atkal jāmēģina slēpt to KEY iekš koda
Grey_Wolf Posted September 25, 2006 Report Posted September 25, 2006 Risinājums ir tikai flash objekts, kurā iekšā iešūts KEY, ar kuru nokodē datus.Bet tur atkal jāskatās, lai to fleshu nedekompilē.... :) Key katru reizi var padod citu :) Bet taapat tas nav 100% droshi .... ( taapat ja gribees atkodiis )....
Recommended Posts