coolwolf0: (Matrix)
coolwolf0 ([personal profile] coolwolf0) wrote 2021-10-18 05:42 am (UTC)

Сами пароли я не храню и сравниваю их с контрольной суммой. Согласен, надо бы и контрольную сумму считать на стороне клиента. В любом случае это защита от атаки на уровне траффика, но не от перехвата пакета в браузере. Если у меня есть валидная контрольная сумма, я могу послать её из браузера и получить все права, словно при успешной аутентикации. Можно похимичить и замутить номер сессии в контрольную сумму, но и это легко подделывается.
(10 comments)

Post a comment in response:

This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.