Jedi Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 Здравствуйте! Не могу понять зачем нужна проверка: $this->request->get['token'] != $this->session->data['token']token в сессии обновляется через какое-то время? Если да, его же можно перенести в куки? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 token в сессии обновляется за время сессии не обновляется, если не попытаться зайти в админку без токена Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 за время сессии не обновляется, если не попытаться зайти в админку без токена Тем более не понятно зачем эта проверка. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 А зачем хранить в куках? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 А зачем хранить в куках? Вопрос не где хранить, а зачем. Что она дает, эта проверка токена в гете и токена в сессии? От чего оберегает бедного админа? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 от неавторизованных действий Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 от неавторизованных действий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные действия"? Какие? Если можно пример. UPD это сообщение видел https://opencartforum.com/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение гета и сессии (никаких других действий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время бездействия в админке. Может я ошибаюсь. Поясните, пожалуйста. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части ааа, ну теперь Все понятно... Спасибо, что объяснили. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 лет спустя... DEDMEDVED Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 (изменено) В 16.07.2014 в 00:45, chukcha сказал: но user_id нигде не хранится в клиентской части А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недостаточно уникальной session_id в cookie? Изменено 23 апреля 2020 пользователем DEDMEDVED Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к так называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Идентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно работать с несколькими акнами session_id кстати доступна на стороне фронта Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 8 часов назад, chukcha сказал: Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ну а если сессия хранится в БД (и сменить имя таблицы), зачем в таком случае токен? Вообще стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без ущерба безопасности. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 2 часа назад, DEDMEDVED сказал: Вообще стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ну это понятно, что можно так делать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 26 апреля 2020 Поделиться Опубликовано: 26 апреля 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ок, если токен так необходим для безопасности, почему бы токен не писать в куку? Зачем его таскать в url? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации Admin Token Remover Автор: drOC, 27 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 0 комментариев 2 120 просмотров drOC 24 сентября 2021 [Поддержка] Admin Token Remover Автор: drOC, 24 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 2 ответа 749 просмотров buslikdrev 28 сентября 2021 Неправильная токен-сессия. Авторизуйтесь снова. Автор: gloomya, 16 апреля 2014 cache token (и ещё 2) Теги: cache token токен авторизация 20 ответов 9 197 просмотров udarcs 23 марта 2019 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Помощь программистам и разработчикам Зачем token в панели администрирования Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 за время сессии не обновляется, если не попытаться зайти в админку без токена Тем более не понятно зачем эта проверка. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 А зачем хранить в куках? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 А зачем хранить в куках? Вопрос не где хранить, а зачем. Что она дает, эта проверка токена в гете и токена в сессии? От чего оберегает бедного админа? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 от неавторизованных действий Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 от неавторизованных действий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные действия"? Какие? Если можно пример. UPD это сообщение видел https://opencartforum.com/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение гета и сессии (никаких других действий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время бездействия в админке. Может я ошибаюсь. Поясните, пожалуйста. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части ааа, ну теперь Все понятно... Спасибо, что объяснили. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 лет спустя... DEDMEDVED Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 (изменено) В 16.07.2014 в 00:45, chukcha сказал: но user_id нигде не хранится в клиентской части А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недостаточно уникальной session_id в cookie? Изменено 23 апреля 2020 пользователем DEDMEDVED Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к так называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Идентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно работать с несколькими акнами session_id кстати доступна на стороне фронта Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 8 часов назад, chukcha сказал: Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ну а если сессия хранится в БД (и сменить имя таблицы), зачем в таком случае токен? Вообще стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без ущерба безопасности. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 2 часа назад, DEDMEDVED сказал: Вообще стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ну это понятно, что можно так делать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 26 апреля 2020 Поделиться Опубликовано: 26 апреля 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ок, если токен так необходим для безопасности, почему бы токен не писать в куку? Зачем его таскать в url? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации Admin Token Remover Автор: drOC, 27 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 0 комментариев 2 120 просмотров drOC 24 сентября 2021 [Поддержка] Admin Token Remover Автор: drOC, 24 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 2 ответа 749 просмотров buslikdrev 28 сентября 2021 Неправильная токен-сессия. Авторизуйтесь снова. Автор: gloomya, 16 апреля 2014 cache token (и ещё 2) Теги: cache token токен авторизация 20 ответов 9 197 просмотров udarcs 23 марта 2019 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Помощь программистам и разработчикам Зачем token в панели администрирования Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 А зачем хранить в куках? Вопрос не где хранить, а зачем. Что она дает, эта проверка токена в гете и токена в сессии? От чего оберегает бедного админа? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 от неавторизованных действий Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 от неавторизованных действий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные действия"? Какие? Если можно пример. UPD это сообщение видел https://opencartforum.com/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение гета и сессии (никаких других действий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время бездействия в админке. Может я ошибаюсь. Поясните, пожалуйста. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части ааа, ну теперь Все понятно... Спасибо, что объяснили. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 лет спустя... DEDMEDVED Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 (изменено) В 16.07.2014 в 00:45, chukcha сказал: но user_id нигде не хранится в клиентской части А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недостаточно уникальной session_id в cookie? Изменено 23 апреля 2020 пользователем DEDMEDVED Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к так называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Идентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно работать с несколькими акнами session_id кстати доступна на стороне фронта Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 8 часов назад, chukcha сказал: Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ну а если сессия хранится в БД (и сменить имя таблицы), зачем в таком случае токен? Вообще стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без ущерба безопасности. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 2 часа назад, DEDMEDVED сказал: Вообще стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ну это понятно, что можно так делать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 26 апреля 2020 Поделиться Опубликовано: 26 апреля 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ок, если токен так необходим для безопасности, почему бы токен не писать в куку? Зачем его таскать в url? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации Admin Token Remover Автор: drOC, 27 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 0 комментариев 2 120 просмотров drOC 24 сентября 2021 [Поддержка] Admin Token Remover Автор: drOC, 24 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 2 ответа 749 просмотров buslikdrev 28 сентября 2021 Неправильная токен-сессия. Авторизуйтесь снова. Автор: gloomya, 16 апреля 2014 cache token (и ещё 2) Теги: cache token токен авторизация 20 ответов 9 197 просмотров udarcs 23 марта 2019 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Помощь программистам и разработчикам Зачем token в панели администрирования Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha
Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 от неавторизованных действий Если я уберу проверку токена в гете с токеном в сессии, будут доступны "неавторизованные действия"? Какие? Если можно пример. UPD это сообщение видел https://opencartforum.com/topic/3249-разъясните-что-это-за-токены/?do=findComment&comment=21868 Но все равно не понимаю что нам дает сравнение гета и сессии (никаких других действий я не нашел). Если у нас в сессии после авторизации хранится user_id. Как я думаю, единственное зачем это могло бы пригодится, это ограниченное время бездействия в админке. Может я ошибаюсь. Поясните, пожалуйста. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
chukcha Опубликовано: 15 июля 2014 Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части ааа, ну теперь Все понятно... Спасибо, что объяснили. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 лет спустя... DEDMEDVED Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 (изменено) В 16.07.2014 в 00:45, chukcha сказал: но user_id нигде не хранится в клиентской части А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недостаточно уникальной session_id в cookie? Изменено 23 апреля 2020 пользователем DEDMEDVED Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к так называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Идентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно работать с несколькими акнами session_id кстати доступна на стороне фронта Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 8 часов назад, chukcha сказал: Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ну а если сессия хранится в БД (и сменить имя таблицы), зачем в таком случае токен? Вообще стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без ущерба безопасности. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 2 часа назад, DEDMEDVED сказал: Вообще стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ну это понятно, что можно так делать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 26 апреля 2020 Поделиться Опубликовано: 26 апреля 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ок, если токен так необходим для безопасности, почему бы токен не писать в куку? Зачем его таскать в url? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации Admin Token Remover Автор: drOC, 27 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 0 комментариев 2 120 просмотров drOC 24 сентября 2021 [Поддержка] Admin Token Remover Автор: drOC, 24 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 2 ответа 749 просмотров buslikdrev 28 сентября 2021 Неправильная токен-сессия. Авторизуйтесь снова. Автор: gloomya, 16 апреля 2014 cache token (и ещё 2) Теги: cache token токен авторизация 20 ответов 9 197 просмотров udarcs 23 марта 2019 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Помощь программистам и разработчикам Зачем token в панели администрирования
Jedi Опубликовано: 15 июля 2014 Автор Поделиться Опубликовано: 15 июля 2014 но user_id нигде не хранится в клиентской части ааа, ну теперь Все понятно... Спасибо, что объяснили. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
DEDMEDVED Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 (изменено) В 16.07.2014 в 00:45, chukcha сказал: но user_id нигде не хранится в клиентской части А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token принципиально добавляет к безопасности? Почему недостаточно уникальной session_id в cookie? Изменено 23 апреля 2020 пользователем DEDMEDVED Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
chukcha Опубликовано: 23 апреля 2020 Поделиться Опубликовано: 23 апреля 2020 1 час назад, DEDMEDVED сказал: А какой смысл в этом? Почему недостаточно хранить user_id в сессии на сервере, сопоставляя с session_id в браузере. Что token меняет в безопасности? опенкартовский token относится к так называемым непрозрачным (opaque) токенам, с ограниченным времени жизни, т.е. по сути до закрытия сессии, или времени жизни сессии Идентификация - двойная 1 $this->user->isLogged() по user_id 2. $this->request->get['token'] == $this->session->data['token'] В принципе token можно генерить каждый раз новый (проверил , сгенерировал), но тогда сложно работать с несколькими акнами session_id кстати доступна на стороне фронта Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 8 часов назад, chukcha сказал: Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ну а если сессия хранится в БД (и сменить имя таблицы), зачем в таком случае токен? Вообще стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без ущерба безопасности. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chukcha Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 2 часа назад, DEDMEDVED сказал: Вообще стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ну это понятно, что можно так делать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 26 апреля 2020 Поделиться Опубликовано: 26 апреля 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ок, если токен так необходим для безопасности, почему бы токен не писать в куку? Зачем его таскать в url? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации Admin Token Remover Автор: drOC, 27 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 0 комментариев 2 120 просмотров drOC 24 сентября 2021 [Поддержка] Admin Token Remover Автор: drOC, 24 сентября 2021 admin token (и ещё 5) Теги: admin token user_token url uri session cookies 2 ответа 749 просмотров buslikdrev 28 сентября 2021 Неправильная токен-сессия. Авторизуйтесь снова. Автор: gloomya, 16 апреля 2014 cache token (и ещё 2) Теги: cache token токен авторизация 20 ответов 9 197 просмотров udarcs 23 марта 2019 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу.
DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 8 часов назад, chukcha сказал: Можно провести атаку на сессии, можно, воспользоваться заложенными шелами и изменить сессию, вот почему хранение сессий в базе, можно считать более защищенным хранидищем По большому счету, было бы неплохо самостоятельно менять имя таблицы хранения сессий (для 3х) было бы неплохо иметь разные сессии для админки и фронта, но тогда бы не работал maintenance mode Ну а если сессия хранится в БД (и сменить имя таблицы), зачем в таком случае токен? Вообще стоит задача обмена ссылками из админки (например, на заказы). Хочется убрать токены без ущерба безопасности. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
chukcha Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 2 часа назад, DEDMEDVED сказал: Вообще стоит задача обмена ссылками из админки (например, на заказы) Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ну это понятно, что можно так делать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... DEDMEDVED Опубликовано: 26 апреля 2020 Поделиться Опубликовано: 26 апреля 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ок, если токен так необходим для безопасности, почему бы токен не писать в куку? Зачем его таскать в url? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0
DEDMEDVED Опубликовано: 24 апреля 2020 Поделиться Опубликовано: 24 апреля 2020 1 час назад, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ну это понятно, что можно так делать. Вопрос в том, какой смысл в токене, если основные уязвимости устраняются хранением сессии в бд? + можно добавить привязку к user-agent и ip, чтобы при их смене сессия прерывалась. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
DEDMEDVED Опубликовано: 26 апреля 2020 Поделиться Опубликовано: 26 апреля 2020 В 24.04.2020 в 11:19, chukcha сказал: Не вопрос Передавайте ссылку, удаляйте token и подставляйте свой Ок, если токен так необходим для безопасности, почему бы токен не писать в куку? Зачем его таскать в url? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Рекомендованные сообщения