Программирование, т. 3

Это ты хуйню пишешь. Данная ссылка и есть в конечном счете информация о том, какой юзер залогинен. Да, там не написаны его паспортные данные, но в конечном счете это информация о пользователе. Ты почему-то решил, что rubish предлагает хранить данные о правах напрямую в кукисах, а речь шла просто о том, что по кукисам их можно получить. В твоем случае — в кукисах хранится SESSIONID, и это не единственный подход.

Изменено 19 февраля 2013 пользователем TycoooN

Хочу попробывать попитонить. С чего начать?

так там ж примитивный синтаксис

учишь его за пол часа

??????

пишешь программы

В кукисах хранится SESSIONID, но ты зная его, ничего не с

то-есть по-твоему это какая-то магическая кука и сам ты создать такую же куку, только с аус токеном не сможешь?

Это ты хуйню пишешь. Данная ссылка и есть в конечном счете информация о том, какой юзер залогинен. Да, там не написаны его паспортные данные, но в конечном счете это информация о пользователе. Ты почему-то решил, что rubish предлагает хранить данные о правах напрямую в кукисах, а речь шла просто о том, что по кукисам их можно получить. В твоем случае — в кукисах хранится SESSIONID, и это не единственный подход.

Ты главное на собеседовании такой хуйни не пори.

 

В кукисах хранится SESSIONID, но ты зная его, ничего не с

то-есть по-твоему это какая-то магическая кука и сам ты создать такую же куку, только с аус токеном не сможешь?

Создав "магическую куку" с AUTH токеном, проебав её ты получишь возможность зайти под другим пользователем с другого компьютера просто подставив её в реквест. Вот например если я тебе сейчас скину мой pass_hash и member_id, ты сможешь зайти под моим аккаунтом, но если я тебе скину свой session_id ты ровным счетом ничего не получишь.
Изменено 19 февраля 2013 пользователем DIMAN123456789

Создав "магическую куку" с AUTH токеном, проебав её ты получишь возможность зайти под другим пользователем с другого компьютера просто подставив её в реквест. Вот например если я тебе сейчас скину мой pass_hash и member_id, ты сможешь зайти под моим аккаунтом, но если я тебе скину свой session_id ты ровным счетом ничего не получишь.

а что помешает мне точно так же зайти с твоей сессионной кукой?

выходит, что ты действительно считаешь, что кука с сессией какая-то магическая

Создав "магическую куку" с AUTH токеном, проебав её ты получишь возможность зайти под другим пользователем с другого компьютера просто подставив её в реквест. Вот например если я тебе сейчас скину мой pass_hash и member_id, ты сможешь зайти под моим аккаунтом, но если я тебе скину свой session_id ты ровным счетом ничего не получишь.

а что помешает мне точно так же зайти с твоей сессионной кукой?

выходит, что ты действительно считаешь, что кука с сессией какая-то магическая

судя по его словам я так понял он собрался как-то идентифицировать браузер чтобы исключить подмену

dd9939f58fea150ba6cb9cd233c064ea вот моя сессионная кука, вперед, заходи под моим логином.

Создав "магическую куку" с AUTH токеном, проебав её ты получишь возможность зайти под другим пользователем с другого компьютера просто подставив её в реквест. Вот например если я тебе сейчас скину мой pass_hash и member_id, ты сможешь зайти под моим аккаунтом, но если я тебе скину свой session_id ты ровным счетом ничего не получишь.

а что помешает мне точно так же зайти с твоей сессионной кукой?

выходит, что ты действительно считаешь, что кука с сессией какая-то магическая

судя по его словам я так понял он собрался как-то идентифицировать браузер чтобы исключить подмену

механизм аутентификации может включать любые данные из запроса, других данных у него просто нет.

dd9939f58fea150ba6cb9cd233c064ea вот моя сессионная кука, вперед, заходи под моим логином.

ну так ведь всё зависит от движка

я не понимаю другого: как ты собрался проебать сессионный кукис без остальных на этот домен?

dd9939f58fea150ba6cb9cd233c064ea вот моя сессионная кука, вперед, заходи под моим логином.

ты мне лучше расскажи что за магия стоит за кукой с айдишником сессии.

dd9939f58fea150ba6cb9cd233c064ea вот моя сессионная кука, вперед, заходи под моим логином.

ну так ведь всё зависит от движка

я не понимаю другого: как ты собрался проебать сессионный кукис без остальных на этот домен?

В том то и смысл, хранить только сессионную куку, не хранить больше ничего. Проебав её, ты не проебешь ничего остального. Единственный минус, нужно каждый раз логиниться на сайт. Но в энтерпрайсе это повсеместно, а многие еще и делают короткие таймауты, чтобы какой-нибудь разява не ушел чай пить не разлогинившись.

 

dd9939f58fea150ba6cb9cd233c064ea вот моя сессионная кука, вперед, заходи под моим логином.

ты мне лучше расскажи что за магия стоит за кукой с айдишником сессии.

он её генерирует на основе сессии твоего браузера. Подделать её практически невозможно, там учитывается версия браузера, во сколько он был запущен, на какой комп установлен и еще куча параметров. Перезагрузил браузер, ключ всегда новый. Еще кстати раньше, когда не было кукисов, sessionid всегда дописывался в GET запрос принудительно последним параметром.

Изменено 19 февраля 2013 пользователем DIMAN123456789

В том то и смысл, хранить только сессионную куку, не хранить больше ничего. Проебав её, ты не проебешь ничего остального.

ну допустим на пд есть хэш пароля, айди сессии и другие

каким образом ты собрался проебать только айди сессии не проебав остальные?

Да ты перекрытый, на 95% сайтов есть опция "запомнить меня", стало быть там используются обычные кукисы. Нет только на сайтах платежных систем и подобных, по очевидным причинам.

dd9939f58fea150ba6cb9cd233c064ea вот моя сессионная кука, вперед, заходи под моим логином.

ты мне лучше расскажи что за магия стоит за кукой с айдишником сессии.

md5 пароля

он её генерирует на основе сессии твоего браузера. Подделать её практически невозможно, там учитывается версия браузера, во сколько он был запущен, на какой комп установлен и еще куча параметров. Перезагрузил браузер, ключ всегда новый. Еще кстати раньше, когда не было кукисов, sessionid всегда дописывался в GET запрос принудительно последним параметром.

ты так и не ответил на мой вопрос: какая в этом всём магия, что аус куки не может быть такой же?

янихуянепонял

dd9939f58fea150ba6cb9cd233c064ea вот моя сессионная кука, вперед, заходи под моим логином.

ты мне лучше расскажи что за магия стоит за кукой с айдишником сессии.

md5 пароля

 

Контакт года 3 назад бтв именно так делал

 

Ну и пхпбб тоже.

есть че про mvvm почитать? я чет охуел, в примере чтобы сраную функию на кнопку повесить, нужно хуярить стену из делегатов и лямбд

нет

бля пацы, хелпаните плз) а то я чет туплю