svk писал(а):Хотябы потому что в access.log залогируется
То есть, единственная опасность - что админ может узнать пароль? При такой передаче - разве может кто-то извне, из числа других пользователей форума получить доступ? (ну кроме подглядывания через плечо ) Если да - то как?
Нельзя исключать взлом сервера и вытастикавание оттуда логов для анализа.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
далеко не единственная!
самое простое - это то что весь url вместе с логином и паролем будет в истории ссылок броузера. особенно приятно посетить ресурс с такой авторизацией из интернет салона какого-нибудь...
есть еще множество последствий, которыми можно воспользоваться не только админу такого ресурса...
Взлом - это понятно. Если взломают - то могут и вообще всю БД форума удалить. Насчет ссылок в истории браузера - это тоже очевидно. Так же как и то, что кто то может подсмотреть через плечо как выглядит УРЛ: это личная безопасность юзера, и в инструкции пользования этой возможностью - это оговаривается. Просто обсуждение носило такой характер (в частности был топик "дайте ка мне адрес форума где используется?") что как бы намекало что есть некий простой способ любому серферу получить чужой УРЛ по которому он попал на форум. Как я понимаю - это не так. И кроме крайних мер (как взлом и легкомыслие юзера) этот способ ничем не опасен? Спасибо всем за обстоятельные ответы.
Опасности есть. Не одна. Они реальны. Перечислять их я не буду! Но, конечно не у "любого" серфера мозгов хватит - только у хотя бы чуть-чуть продвинутых...
Добавлено спустя 12 минут 1 секунду:
Хмм... меня глючит или действительно топик на такую же тему (где я распинался на предмет опасности) куда-то исчез?
svk писал(а):если он залогинится и тутже перейдет по ссылке на другой сайт то в http заголовке в поле referer зафиксируется адресная строка, с логином и паролем 8)
Гм... Да, действительно, об этом не подумал... То есть зломышленнику достаточно запостить что либо с ссылкой на свой сайт где он это поле прочитает. А есть ли возможность сделать так: после входа таким методом - переопределить referer? Интересуюсь не только для такого метода, но и для того чтобы знать: могу ли я скрыть от скрипта на каком либо сайте откуда я пришел?
Azlab, проблема не только в refer'ах. Мало того в них наименьшая проблема, поскольку сразу после login происходит редирект на сам форум. Что уже уменьшает критичность моего второго решения... но не сильно в случае интегрированных портальных систем, вывода последних постов на главную, и т.д.
referer передается вашим броузером и вы можете запретить ему это делать...
Кроме referer'ов, для хулиганов есть еще множество способов получить username & password из ранее посещенных url...
P.S. Здесь не тот форум где стоит пытаться выудить уязвимости! Вам сказали есть, значит есть...
http://forum.s-c.ru/login.php?username= ... ord=ПАРОЛЬ
а как обезопасить данны автологин? или как сделать автологин для мобильного телефона на форуме это для удобстава пользователей, потому что я как понял форум может хранить куки пользователей там это есть в настройках форума а проблема в том что на мобильном сделать закладку и постоянно с нее заходить хранение куки в мобильном это наверное не пк, брр надеюсь вы меня поняли то что я хотел узнать.
и еще о безопасности что б исклучить возможность получение автологина пользуются очисткой куки или перенаправлением на отдельную страницу а уж потом на ту ссылку которую нажал пользователь а как это они делают интиресно....
) Если да - то как?