Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Разъясните что это за токены


vavan1955

Recommended Posts

В админке, в настройках сервера, внизу есть такое.

Игнорировать токены на этих страницах:

Эта версия OpenCart защищена через токены. Модули, которые не были обновлены для поддержки токенов, могут быть отмечены для игнорирования токенов и нормальной работы.

Разъясните старому, что это и с чем едят :rolleyes:

Надіслати
Поділитися на інших сайтах


Токен (англ. token) — это устройство, хранящее некий уникальный параметр, на основе которого выдается корректный ответ на запрос системы об аутентификации.

Различают следующие варианты использования токена.

□ На запрос системы токен предъявляет ей хранимое секретное значение. Это не самый надежный случай, так как, перехватив это значение один раз, злоумышленник может имитировать ответ токена.

□ Токен и система имеют общую, синхронизированную систему генерации одноразовых паролей. На запрос системы токен выдает пароль, действительный для данного промежутка времени. Синхронизированная система генерирует в это время свой вариант пароля, который и сравнивает с полученным.

□ Токен зарегистрирован в системе, и система знает его секретное значение (либо открытый ключ для варианта асимметричной криптографии — более подробно об этом рассказывается в главе 18). Получив в запросе некую случайную величину, сгенерированную системой для данного сеанса аутентификации, токен преобразует ее, используя свой секретный параметр. Таким образом, с одной стороны, информация, предоставляемая для аутентификации (как запрос, так и ответ), каждый раз различна и ее перехват ничего не дает злоумышленнику. С другой стороны, система, зная случайное значение и секретный параметр токена, генерирует свой вариант ожидаемого ответа токена и на основе этого сравнения принимает решение об авторизации. По сравнению с предыдущим методом данный алгоритм стоек к рассинхронизации системы и токена. При случайных или умышленных попытках некорректной авторизации либо даже простейшем сбое питания в методе с синхронной системой счетчики одноразовых паролей могут рассинхронизироваться. Это потребует вмешательства в работу системы специалистов с дополнительными полномочиями.

Варианты применения токена совместно с паролем или ПИНом пользователя следующие:

□ ПИН служит паролем доступа к самому токену: без введения ПИН токен не действует;

□ токен генерирует аутентификационный ответ на основе своего секретного параметра и ПИН пользователя, т. е. корректность и секретного параметра и ПИНа анализируются системой.

□ ПИН пользователя совместно с параметром токена и случайной величиной системы, или с синхронизированным параметром служат основой для выработки одноразового пароля, который затем сообщается пользователю. Пользователь далее работает с этим паролем, как с обычным, но только в ограниченный промежуток времени.

Надежность подобных систем зависит от реализации работы токена и системы. Например, если между системой и устройством считывания данных,

подготовленных токеном, может размещаться средство перехвата информации, и при этом срок жизни пароля из ответа токена достаточно долгий, то, естественно, он может быть использован злоумышленником.

Надіслати
Поділитися на інших сайтах


Спасибо за общее разъяснение но по теме я спросил ещё и про отмечаемые модули. Вот тут что то не пойму. Если их отметить в настройках то повышается защита? Или как?

Надіслати
Поділитися на інших сайтах


  • 3 months later...

Присоединяюсь к вопросу! Пожалуйста, разжуйте на пальцах, что изменяется в магазине когда я ставлю галочку? И что происходит если ничего не отмечать? И что вообще лучше?!

Надіслати
Поділитися на інших сайтах


защита "понижается", если можно так выразиться.

это для совместимости модулей от старых версий (в которых token`ы не использовались) с новыми версиями движка.

например, для модуля с версии OC_146, установленного на OC_149 вам обязательно пригодится такой финт.

хотя, конечно, корректнее было бы обновить модуль, добавив поддержку token`ов.

Надіслати
Поділитися на інших сайтах

защита "понижается", если можно так выразиться.

это для совместимости модулей от старых версий (в которых token`ы не использовались) с новыми версиями движка.

например, для модуля с версии OC_146, установленного на OC_149 вам обязательно пригодится такой финт.

хотя, конечно, корректнее было бы обновить модуль, добавив поддержку token`ов.

Большое спасибо, всё сразу стало на свои места....
Надіслати
Поділитися на інших сайтах


  • 1 year later...

При входе в админку пишет - Неправильная токен-сессия. Авторизуйтесь снова.

вот что посоветовали на хостинге - Для решения данной проблемы Вам необходимо отключить токен-авторизацию и использовать использовать парольную авторизацию. О том как это сделать в Вашей CMS Вы можете узнать у ее разработчиков.

помогите люди добрые..

Надіслати
Поділитися на інших сайтах


  • 3 weeks later...

Все решили, всем спасибо :)

Ну так будьте добры, написать как решили, в чём проблема? Не подумали о том, что у других могут быть такие же вопросы?

Надіслати
Поділитися на інших сайтах


  • 3 months later...

При входе в админку пишет - Неправильная токен-сессия. Авторизуйтесь снова.

вот что посоветовали на хостинге - Для решения данной проблемы Вам необходимо отключить токен-авторизацию и использовать использовать парольную авторизацию. О том как это сделать в Вашей CMS Вы можете узнать у ее разработчиков.

помогите люди добрые..

 

и ни слова чтобы другим помочь.

 

token в ссылке на админку старый стоит...

 

Например, вы закрыли браузер, во вкладке была админка, затем открыли браузер, движок сформировал новый токен, а в адресной строке браузера остался старый токен от прошлого захода в админку. Движок ругается на несоответствие... Просто из адресной строки удаляем "&token=значение токена"

Надіслати
Поділитися на інших сайтах

  • 8 years later...

у меня проблема в том что с ajax а никак не могу ссылаться на функцию в контроллере, т.е если правильный урл напишу с токеном вместе, взяв  токен с котроллера, выходит из админ панели  с надписью "неправильный токен", если даже просто фиг напишу в урл в ajax-е все равно выходит с такой же надписью, но во второй версии опенкарты все работает норм, может кто-то мне помочь ? 

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.