Ben bir Mothership etki alanına sahip ve bunu içine oturum açarsanız, bir belirteç kullanıcı kimliği, oluşturulan datetime, son kullanma datetime ve kullanıcı aracısı ile giriş için veritabanında oluşturulur. Belirteç (zaman kullanıcı giriş oluşturuldu) yapıldıktan sonra son kullanma bir saat ayarlanır.
Scoutship için Anagemi'nin den giriş yapabilmek için, ben şöyle bir sorgu dize eklemek
<a href="http://www.spaceship.com?user=ahs6588ads6d8das">go to spaceship</a>
Sonra Scoutship üzerine, bu yüzden gibi veritabanını arar:
$query = "SELECT user_id FROM user_tokens
WHERE token = $tokenFromUrl
AND user_agent = $thisUserAgent
AND expires > NOW()
LIMIT 1";
Bir eşleşme bulursa, kullanıcıyı girişler, ve sonra sorgu dizesi kaldırmak konum başlıkları gönderir.
Birisi bu URL'yi erişilen Açıkçası, bu (bunlar eski sitenin oturum saat içinde geldi sağlanan ve aynı kullanıcı aracısı dizesi olan) o kim olarak oturum olacaktır. Bu bana göre olması gerektiği gibi güvenli gelmiyor.
Bu güvenliği güçlendirmek için bir yolu var mı? I has_auto_logged_in ve ilk arama için TRUE olarak ayarlayın ve bundan sonra gelen tüm isteklerini reddetmek gibi db bir sütun var mıdır?
Çok teşekkürler
UPDATE
İşte ben ile geldi budur
- Her istek, bir 15 dakikalık bir son kullanma tarihi ile yeni bir seferlik oluşturur ve kullanıcı arayüzü kaydeder
- Sorgu dizesinde giden URL'ler için nonce karma ekler
- Yeni site karma bir seferlik maçlar ve 15 dk bitiminden içinde ve aynı kullanıcı ajan vardır sağlayacaktır. Daha sonra bu seferlik silecektir.
- Sorgu dizesi kaldırmak konum başlıkları gönderir.
Yani, bir kişi bir site ve kişi B (korsan) açıksa bu yenebilecek tek yoldur
- Aynı kullanıcı aracısı dizesi vardır (ya da sahte)
- Karma gözlemlemek ve kendi tarayıcısında ziyaret, ama 15 dakika içinde kişi önce bir herhangi bir yeni isteği yapar
Orada bu yanı sıra yapabileceği çok daha fazla mı? Muhtemelen yeni bir karma alır ve bağlantıları güncelleştirir, ancak daha fazla sorun bu değer daha olmasıdır ÖS AJAX script koymak olabilir?
