Когда мы совершаем действия, доступные только этому пользователю, мы отправляем в хедер запроса (заголовок запроса, в него передаётся способ общения с сервером) и данные, которые локально сохранили в cookie, чтоб подтвердить, что это мы, а не условный программист из Финляндии. Временные cookie имеют срок годности и стираются в конце сессии, или становятся неактуальными с течением времени.
Крутая статья, хотя немного не для виси (имхо). Такой небольшой филиал Хабра получился) Пишите ещё!
И правда шикарная статья, если бы не Ваш комментарий, думал бы, что прочитал ее на Хабре)))))
Отличная статья!
Есть вопрос. При авторизации я отдаю свой токен, сервак смотрит на него и пускает. Получается, используя один токен я могу авторизоваться несколько раз. Почему бы токен не обновить при успешной авторизации? Таким образом будем хранить всегда свежий токен
Если имеется ввиду авторизация с разных устройств/браузеров, то тут бывают разные реализации. Есть сохранение токена для каждого устройства. Есть хранение токена только на устройстве. Есть перезаписывание токена при каждой авторизации (в этом случае вход на других устройствах будет уже не доступен).
Также в некоторых запросах добавляют рефреш токен, если необходимо обновить токен сейчас.
Здравствуйте у меня такая ситуаяция:
У нас есть сайт с двойной верификацией (мейл-пароль + смс), с протоколом https, но токен держим в локал сторидже, хотя есть рефреш токен который обновлаяется каждые 3 минуты. Насколько такие методы обезопасели нас по шкале от 1 до 10 (1 очень плохо, 10 отлично)?
Хорошая , актуальная статья ...
http://site.ru/page.php?login=testqa&password=12345678Разве get'ы ещё еще популярны?
Post, сами понимаете , безопаснее, но куда важнее, защитить БД и апи от инъекций/снифа.
Самый простой способ - шифрование/де шифр после получения .....
Ну а бэкапах, и ограничениях прав юзеров и так понятно
Спасибо за мнение!
Цель статьи - рассмотреть некоторые уязвимости, чтобы помочь сформировать образ мышления начинающего защитника безопастности. Сейчас существует множество встроенных библиотек, которые покрывают множество кейсов в безопасности. Однако, и старые технологии все еще живы (как ни печально), и начинать погружаться в безопасность с чего-то надо))