Главная Контакты


  На сайте

  Java, JavaScript
  Документация Perl
  Документация PHP
  Документация ASP
  Новости сайта
  Flash
  Интернет протоколы
  Apache
  Уроки программирования
  Язык программирования C
 


приемы безопасного программирования веб-приложений


Единственное, что необходимо сделать при такой организации - периодически чистить локальный список uid'ов и/или сделать для пользователя кнопку "выход", при нажатии на которую локальный uid пользователя сотрется из базы на сервере - сессия закрыта. Некоторые программисты используют в качестве uid не "одноразовое" динамически генерирующееся число, а пароль пользователя. Это допустимо, но это является "дурным тоном", поскольку пароль пользователя обычно не меняется от сессии к сессии, а значит - хакер сможет сам открывать сессии. Та же самая модель может быть использована везде, где требуется идентификация пользователя - в чатах, веб-конференциях, электронных магазинах.

В заключение стоит упомянуть и о такой полезной вещи, как ведение логов. Если в каждую из описанных процедур встроить возможность занесения события в лог-файл с указанием IP-адреса потенциального злоумышленника - то в случае реальной атаки вычислить хакера будет гораздо проще, поскольку хакеры обычно пробуют последовательно усложняющиеся атаки. Для определения IP-адреса желательно использовать не только стандартную переменную REMOTE_ADDR, но и менее известную HTTP_X_FORWARDED_FOR, которая позволяет определить IP пользователя, находящегося за прокси-сервером. Естественно - если прокси это позволяет. При ведении лог-файлов, необходимо помнить, что доступ к ним должен быть только у Вас. Лучше всего, если они будут расположены за пределами дерева каталогов, доступного через WWW. Если нет такой возможности - создайте отдельный каталог для лог-файлов и закройте туда доступ при помощи .htaccess (Deny from all).

Я буду очень признателен, если кто-нибудь из программистов поделится своими не описанными здесь методами обеспечения безопасности при разработке приложений для Web.
Продолжение статьи: ч.1  Продолжение статьи: ч.2  Продолжение статьи: ч.3  Продолжение статьи: ч.4  Продолжение статьи: ч.5  Продолжение статьи: ч.6  Продолжение статьи: ч.7  Продолжение статьи: ч.8  Продолжение статьи: ч.9  Продолжение статьи: ч.10  Продолжение статьи: ч.11 

Другие статьи по теме:

- гостевая - это просто!
- Php и web. кэширование
- авторское право на программное обеспечение
- приемы безопасного программирования веб-приложений
- встроенные функции в php
Голосование:
Чего Вы хотели бы видеть больше на сайте?

Статей, документации
Скриптов
Программ для вебмастера
Я не знаю



Другие голосования

Обмен кнопочками:



Приглашаем Вас обменяться кнопочками! Обращайтесь к администратору.


Новые статьи:
Как выбрать браузер
Средства структурного анализа и проектирования систем
Классификация case-средств
Case-технология проектирования программного обеспечения информационных систем
Технология intranet
Технологии Internet
Средства доступа к базам данных
Средства быстрой разработки прикладных программ
Объектно-ориентированный подход к созданию программных средств
Этапы проектирования при разработке программного продукта


Наши партнеры:





2006-2024 © SMTI.RU
Главная страница | Связаться с нами