Разъясните что это за токены

[vavan1955]

В админке, в настройках сервера, внизу есть такое.

Игнорировать токены на этих страницах:

Эта версия OpenCart защищена через токены. Модули, которые не были обновлены для поддержки токенов, могут быть отмечены для игнорирования токенов и нормальной работы.

Разъясните старому, что это и с чем едят :rolleyes:

[mobiliti]

Токен (англ. token) — это устройство, хранящее некий уникальный параметр, на основе которого выдается корректный ответ на запрос системы об аутентификации.

Различают следующие варианты использования токена.

□ На запрос системы токен предъявляет ей хранимое секретное значение. Это не самый надежный случай, так как, перехватив это значение один раз, злоумышленник может имитировать ответ токена.

□ Токен и система имеют общую, синхронизированную систему генерации одноразовых паролей. На запрос системы токен выдает пароль, действительный для данного промежутка времени. Синхронизированная система генерирует в это время свой вариант пароля, который и сравнивает с полученным.

□ Токен зарегистрирован в системе, и система знает его секретное значение (либо открытый ключ для варианта асимметричной криптографии — более подробно об этом рассказывается в главе 18). Получив в запросе некую случайную величину, сгенерированную системой для данного сеанса аутентификации, токен преобразует ее, используя свой секретный параметр. Таким образом, с одной стороны, информация, предоставляемая для аутентификации (как запрос, так и ответ), каждый раз различна и ее перехват ничего не дает злоумышленнику. С другой стороны, система, зная случайное значение и секретный параметр токена, генерирует свой вариант ожидаемого ответа токена и на основе этого сравнения принимает решение об авторизации. По сравнению с предыдущим методом данный алгоритм стоек к рассинхронизации системы и токена. При случайных или умышленных попытках некорректной авторизации либо даже простейшем сбое питания в методе с синхронной системой счетчики одноразовых паролей могут рассинхронизироваться. Это потребует вмешательства в работу системы специалистов с дополнительными полномочиями.

Варианты применения токена совместно с паролем или ПИНом пользователя следующие:

□ ПИН служит паролем доступа к самому токену: без введения ПИН токен не действует;

□ токен генерирует аутентификационный ответ на основе своего секретного параметра и ПИН пользователя, т. е. корректность и секретного параметра и ПИНа анализируются системой.

□ ПИН пользователя совместно с параметром токена и случайной величиной системы, или с синхронизированным параметром служат основой для выработки одноразового пароля, который затем сообщается пользователю. Пользователь далее работает с этим паролем, как с обычным, но только в ограниченный промежуток времени.

Надежность подобных систем зависит от реализации работы токена и системы. Например, если между системой и устройством считывания данных,

подготовленных токеном, может размещаться средство перехвата информации, и при этом срок жизни пароля из ответа токена достаточно долгий, то, естественно, он может быть использован злоумышленником.

[vavan1955]

Спасибо за общее разъяснение но по теме я спросил ещё и про отмечаемые модули. Вот тут что то не пойму. Если их отметить в настройках то повышается защита? Или как?

[mpnik]

Присоединяюсь к вопросу! Пожалуйста, разжуйте на пальцах, что изменяется в магазине когда я ставлю галочку? И что происходит если ничего не отмечать? И что вообще лучше?!

[afwollis]

защита "понижается", если можно так выразиться.

это для совместимости модулей от старых версий (в которых token`ы не использовались) с новыми версиями движка.

например, для модуля с версии OC_146, установленного на OC_149 вам обязательно пригодится такой финт.

хотя, конечно, корректнее было бы обновить модуль, добавив поддержку token`ов.

[mpnik]

защита "понижается", если можно так выразиться.

это для совместимости модулей от старых версий (в которых token`ы не использовались) с новыми версиями движка.

например, для модуля с версии OC_146, установленного на OC_149 вам обязательно пригодится такой финт.

хотя, конечно, корректнее было бы обновить модуль, добавив поддержку token`ов.

Большое спасибо, всё сразу стало на свои места....

[dashkakosa]

При входе в админку пишет - Неправильная токен-сессия. Авторизуйтесь снова.

вот что посоветовали на хостинге - Для решения данной проблемы Вам необходимо отключить токен-авторизацию и использовать использовать парольную авторизацию. О том как это сделать в Вашей CMS Вы можете узнать у ее разработчиков.

помогите люди добрые..

[freelancer]

бред какой-то. а что за хостинг?

[dashkakosa]

Все решили, всем спасибо:)

Змінено 25 лютого 2013 користувачем dashkakosa

[excalibur]

Все решили, всем спасибо :)

Ну так будьте добры, написать как решили, в чём проблема? Не подумали о том, что у других могут быть такие же вопросы?

[olllip]

Нет, ну вот жеж люди бывают! Сначала:

 

 

помогите люди добрые..

 

а потом

 

Все решили, всем спасибо :)

 

и ни слова чтобы другим помочь.

[JohnnyVega]

При входе в админку пишет - Неправильная токен-сессия. Авторизуйтесь снова.

вот что посоветовали на хостинге - Для решения данной проблемы Вам необходимо отключить токен-авторизацию и использовать использовать парольную авторизацию. О том как это сделать в Вашей CMS Вы можете узнать у ее разработчиков.

помогите люди добрые..

 

и ни слова чтобы другим помочь.

 

token в ссылке на админку старый стоит...

 

Например, вы закрыли браузер, во вкладке была админка, затем открыли браузер, движок сформировал новый токен, а в адресной строке браузера остался старый токен от прошлого захода в админку. Движок ругается на несоответствие... Просто из адресной строки удаляем "&token=значение токена"

[azizka_99]

у меня проблема в том что с ajax а никак не могу ссылаться на функцию в контроллере, т.е если правильный урл напишу с токеном вместе, взяв  токен с котроллера, выходит из админ панели  с надписью "неправильный токен", если даже просто фиг напишу в урл в ajax-е все равно выходит с такой же надписью, но во второй версии опенкарты все работает норм, может кто-то мне помочь ?