$_POST не могу использовать в силу того, что это установочник CMS и переходы осуществляются "Гетами" Имеется в строке браузера строка по типу: Код (Text): ?do=step3&dbpass=123456&dbuser=admin Хотелось бы, что бы в конфиг улетали непосредственно пароль: 123456 и логин: admin. Но что бы в строке браузера выводились разные символы, не дающие адекватно прочитать логин и пароль.
Кто ж пароль и логин передает гетом? Ну кто написал установщик пусть переделывает. Как ты представляешь помощь с нашей стороны?
Ну так-то во чаще всего в установщиках CMS перенаправления между этапами установки идут через $_GET. И даже взять DataLifeEngine в ней передача идет гетом, но пароль и логин успешно шифруется. Вопрос не в том, кто передает лог и пасс гетом, а как передать его таким образом, что бы его не узнали Добавлено спустя 2 минуты 45 секунд: Хотя могу ошибаться
Удивлю, но не передавать гетом. Удивлю второй раз, переписать установщик так как он сейчас написан что бы принимать пароль и логин в открытом виде гет запросом.
А ты с юмором. Проблему решил. На одном из этапов сделал перекидку на $_POST кажется работает. А так хз. Спасибо за содействие
Ну да, это же ржачно видеть как пароль и логин передаются в гете. Этот код бы занял первое место на govnokod.ru Че, как, пишешь загадками, здесь мало телепатов. Обращайся.
А так на вскидку, если кто то передается что то параметрами GET сложно ли 3-му лицу узнать что он передал?
присоединяюсь к вопросу (третье лицо будем считать не то тело, которое стоит за спиной заполняющего форму)))
логи URL-ов есть в тысяче мест. не только на целевом веб-сервере. браузерные расширения могут собирать статистику посещенных страниц. никто не обращает внимание на список требуемых разрешений когда ставит очередной extension. периодически логи всяких squid-ов попадают в поисковую выдачу. вот это по настоящему весело! см. про яндекс бар
Передача данных с формы и перенаправление на новую страницу GET-ом никак не связаны. Перефразирую: если вы понимаете механизм работы каким-либо образом, это не делает его таковым, просто потому, что вы так думаете.
Ну а если допустим на стороне пользователя все хорошо, нет ни каких яндекс баров и т.д., т.е. злоумышленник не имеет ни какого доступа к компьютеру пользователя и к серверу, все что он знает это IP адреса сервера и пользователя, можно ли в режиме реального времени перехватывать данные?
Если ты не имеешь доступа к серверу, каналу связи, просто идешь по улице, находясь вообще на другом континенте, то нет. Если ЦМС публичная, то этот ее косяк известен и хитрые незримые пауканы шерстят истории браузеров во всяких интернет-кафе, на работе и мало ли где, где ты вбил в браузер свои данные, вызвав тем самым синхронизацию его истории с браузером домашнего компа. Ну а если ссылка вида имя_сайта/логин=&пароль= всплывет в интернете, то это все равно что потерять ключи от дома, на которых написан адрес, где ты живешь и время, когда ты на работе. Ключи от квартиры, где деньги лежат
т.е. получает если у злоумышленника нет "доступа" к компьютеру пользователя, к серверу и к промежуточным серверам через которые идет сигнал от пользователя до конечного сервера, то получается ни как злоумышленник не узнает какие страницы посещал пользователь на сервере?
выдать "доступ" может случайная поисковая выдача. не все злодеи похожи на Джокера из комиксов. вот ты бы встретил адрес http ://vavan.ru/secretplace.php?name=admin&password=qwerty ну неужели бы не попробовал, а? вот честно? )))) в жизни такие эпические просеры бывают, что нарочно не придумаешь.
пффф.. давайте немного по другому выверну, есть платежная система типа робокассы и есть сайт с модулем оплаты, т.е. на сайте пользователь выбирает "оплатить" его перекидывает на сайт платежной системы, там он оплачивает и сама платежная система передает методом GET уведомление что все ОК на сайт, с которого плательщик был направлен. давайте опустим такие моменты как платежная система узнает с какого сайта пришел пользователь, что можно все как то по другому сделать и т.д. может ли в данном случае 3-е лицо не имеющее доступа ни к серверу платежной системы ни к серверу где расположен сайт (но зная их IP адреса) узнать что именно передает платежная система серверу (а передает она не "ОК", а допустим ключ, каждый раз разный).
Не знаю, как у тебя, в моей вселенной магазины и платежки общаются только через SSL. И хоть что там передавай - все закрыто. А теперь вопрос на засыпку - как думаешь, почему SSL был изобретен? Это как раз ответ на твой вопрос "можно ли что-то перехватить и запользовать". Ответ - да, можно. Далее, GET. GET параметр не случайно называется GET, а не как либо еще. GET-ом надо передавать read-only параметры. И больше никак. Никаких паролей, явок, никаких mode=logout и тем более action=delete_account. И тут дело не только в том, что что-то кто-то перехватит. Ты можешь банально вляпаться в CSRF, который может быть очень болезненен. Вконтактик, в свое время, плотно на GET-е сидел. Слез с него, когда какие-то трололо стали распространять по популярным форумам "картинку", сносящую вконтактовый аккаунт каждого, кто загрузил страницу с нею. Ведь это так просто - заставить браузер жертвы дернуть конкретную ссылку против его воли...