Архифлеймер
Зарегистрирован:
04 October 2005
Сообщения: 3067
Примеры кода: 0
|
Re: А есть ли описанные в литературе где-то прецеденты взлома FORMS-аутентификации |
01 November 2007 11:27 |
|
|
|
|
vbnet2000:
Ну в сущности - это аутентификация по базе. Все начинается с того, что в базе регистрируется SessionID. Плюс - я генерю случайный ключ - шифрую его - и ставлю в каждом response.
Итого - у меня в реквесте приходит стандартный микрософтовский SessionID - и плюс мой уникальный криптографически защищенный номер реквеста. Который я расшифровываю перед сравнением с отправленным и погашаемым респонзом, канечно.
Это уже много - в дополнение к тому, что все это хозяйство зарегистрировано в базе.
Плюс конечно графика для каждого постбека - "я не робот".
Докрутил я все это хозяйство технически в аутефикационный контрол, который положил на Master.Page.
Итого у меня в начале каждой собственно странички есть уже контекст легальный ли это реквест. Это тоже много. Тут есть некие хитрости - как выход сделать и тд. Но по идее все уже достаточно нормально работает.
Ща я загрузился проблемой как создать такой рисунок (защищяющий от постбека) - который не распознается - http://www.botmaster.ru/pictocod/
Но это как бы самая внешняя линия обороны - фактически от DOS-постбеков.
А зачем шифровать номер Request?
Или лучше перебдеть чем не до бдеть?
----------------------------------------
Knowledge is P...O...w...E...R!
My site
Данное сообщение получено с сайта GotDotNet.RU
|
|