Перейти к содержанию
vavan1955

Разъясните что это за токены

Рекомендуемые сообщения

В админке, в настройках сервера, внизу есть такое.

Игнорировать токены на этих страницах:

Эта версия OpenCart защищена через токены. Модули, которые не были обновлены для поддержки токенов, могут быть отмечены для игнорирования токенов и нормальной работы.

Разъясните старому, что это и с чем едят :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Токен (англ. token) — это устройство, хранящее некий уникальный параметр, на основе которого выдается корректный ответ на запрос системы об аутентификации.

Различают следующие варианты использования токена.

□ На запрос системы токен предъявляет ей хранимое секретное значение. Это не самый надежный случай, так как, перехватив это значение один раз, злоумышленник может имитировать ответ токена.

□ Токен и система имеют общую, синхронизированную систему генерации одноразовых паролей. На запрос системы токен выдает пароль, действительный для данного промежутка времени. Синхронизированная система генерирует в это время свой вариант пароля, который и сравнивает с полученным.

□ Токен зарегистрирован в системе, и система знает его секретное значение (либо открытый ключ для варианта асимметричной криптографии — более подробно об этом рассказывается в главе 18). Получив в запросе некую случайную величину, сгенерированную системой для данного сеанса аутентификации, токен преобразует ее, используя свой секретный параметр. Таким образом, с одной стороны, информация, предоставляемая для аутентификации (как запрос, так и ответ), каждый раз различна и ее перехват ничего не дает злоумышленнику. С другой стороны, система, зная случайное значение и секретный параметр токена, генерирует свой вариант ожидаемого ответа токена и на основе этого сравнения принимает решение об авторизации. По сравнению с предыдущим методом данный алгоритм стоек к рассинхронизации системы и токена. При случайных или умышленных попытках некорректной авторизации либо даже простейшем сбое питания в методе с синхронной системой счетчики одноразовых паролей могут рассинхронизироваться. Это потребует вмешательства в работу системы специалистов с дополнительными полномочиями.

Варианты применения токена совместно с паролем или ПИНом пользователя следующие:

□ ПИН служит паролем доступа к самому токену: без введения ПИН токен не действует;

□ токен генерирует аутентификационный ответ на основе своего секретного параметра и ПИН пользователя, т. е. корректность и секретного параметра и ПИНа анализируются системой.

□ ПИН пользователя совместно с параметром токена и случайной величиной системы, или с синхронизированным параметром служат основой для выработки одноразового пароля, который затем сообщается пользователю. Пользователь далее работает с этим паролем, как с обычным, но только в ограниченный промежуток времени.

Надежность подобных систем зависит от реализации работы токена и системы. Например, если между системой и устройством считывания данных,

подготовленных токеном, может размещаться средство перехвата информации, и при этом срок жизни пароля из ответа токена достаточно долгий, то, естественно, он может быть использован злоумышленником.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за общее разъяснение но по теме я спросил ещё и про отмечаемые модули. Вот тут что то не пойму. Если их отметить в настройках то повышается защита? Или как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяюсь к вопросу! Пожалуйста, разжуйте на пальцах, что изменяется в магазине когда я ставлю галочку? И что происходит если ничего не отмечать? И что вообще лучше?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

защита "понижается", если можно так выразиться.

это для совместимости модулей от старых версий (в которых token`ы не использовались) с новыми версиями движка.

например, для модуля с версии OC_146, установленного на OC_149 вам обязательно пригодится такой финт.

хотя, конечно, корректнее было бы обновить модуль, добавив поддержку token`ов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

защита "понижается", если можно так выразиться.

это для совместимости модулей от старых версий (в которых token`ы не использовались) с новыми версиями движка.

например, для модуля с версии OC_146, установленного на OC_149 вам обязательно пригодится такой финт.

хотя, конечно, корректнее было бы обновить модуль, добавив поддержку token`ов.

Большое спасибо, всё сразу стало на свои места....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При входе в админку пишет - Неправильная токен-сессия. Авторизуйтесь снова.

вот что посоветовали на хостинге - Для решения данной проблемы Вам необходимо отключить токен-авторизацию и использовать использовать парольную авторизацию. О том как это сделать в Вашей CMS Вы можете узнать у ее разработчиков.

помогите люди добрые..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все решили, всем спасибо:)

Изменено пользователем dashkakosa

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все решили, всем спасибо :)

Ну так будьте добры, написать как решили, в чём проблема? Не подумали о том, что у других могут быть такие же вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет, ну вот жеж люди бывают! Сначала:

 

 


помогите люди добрые..

 

а потом

 

Все решили, всем спасибо :)

 

и ни слова чтобы другим помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При входе в админку пишет - Неправильная токен-сессия. Авторизуйтесь снова.

вот что посоветовали на хостинге - Для решения данной проблемы Вам необходимо отключить токен-авторизацию и использовать использовать парольную авторизацию. О том как это сделать в Вашей CMS Вы можете узнать у ее разработчиков.

помогите люди добрые..

 

и ни слова чтобы другим помочь.

 

token в ссылке на админку старый стоит...

 

Например, вы закрыли браузер, во вкладке была админка, затем открыли браузер, движок сформировал новый токен, а в адресной строке браузера остался старый токен от прошлого захода в админку. Движок ругается на несоответствие... Просто из адресной строки удаляем "&token=значение токена"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.