Настоящий Флеймер
Зарегистрирован:
16 August 2006
Сообщения: 1510
Примеры кода: 0
|
Re: А есть ли описанные в литературе где-то прецеденты взлома FORMS-аутентификации |
01 November 2007 00:50 |
|
|
|
|
Ну в сущности - это аутентификация по базе. Все начинается с того, что в базе регистрируется SessionID. Плюс - я генерю случайный ключ - шифрую его - и ставлю в каждом response.
Итого - у меня в реквесте приходит стандартный микрософтовский SessionID - и плюс мой уникальный криптографически защищенный номер реквеста. Который я расшифровываю перед сравнением с отправленным и погашаемым респонзом, канечно.
Это уже много - в дополнение к тому, что все это хозяйство зарегистрировано в базе.
Плюс конечно графика для каждого постбека - "я не робот".
Докрутил я все это хозяйство технически в аутефикационный контрол, который положил на Master.Page.
Итого у меня в начале каждой собственно странички есть уже контекст легальный ли это реквест. Это тоже много. Тут есть некие хитрости - как выход сделать и тд. Но по идее все уже достаточно нормально работает.
Ща я загрузился проблемой как создать такой рисунок (защищяющий от постбека) - который не распознается - http://www.botmaster.ru/pictocod/
Но это как бы самая внешняя линия обороны - фактически от DOS-постбеков.
|
|