Gt
не ну а че.. берем жс и ним проходимся по кукам
stored XSS
Size: a a a
2020 June 09
ИЛ
не ну а че.. берем жс и ним проходимся по кукам
V
ну да, httpOnly стоит
EG
ну да, httpOnly стоит
так попробуйте утащить токен без физ. доступа к компьютеру потенциальной жертвы
V
угу, тестану )
EG
и для надежность про same_site не забываем
IG
колоссальный, главное вдумчиво расставлять и запросы формировать, чтоб база индексы использовала для выборки, сортировки и т.д.
а ок, спасибо
V
да, спасибо
VY
вот такая вот ерунда получается..
ну, все правильно...
если утянуть токен для АПИ - точно то же самое будет.
Если этого (кражи ремембер-токен) опасаться, надо сделать этой куке короткое время жизни....
если утянуть токен для АПИ - точно то же самое будет.
Если этого (кражи ремембер-токен) опасаться, надо сделать этой куке короткое время жизни....
V
т.е. это типа "нормально"
VY
т.е. это типа "нормально"
нет....
но крылатое выражение "то, что один человек сделал - другой сломать сможет" :)
но крылатое выражение "то, что один человек сделал - другой сломать сможет" :)
V
я понял) буду строить чето в защиту
VY
я понял) буду строить чето в защиту
например, убрать вообще эту возможность (и чек-бокс) сохранить ремембер-токен, если уж на то пошло....
AP
можно хранить кучу параметров для пользователя и это все чекать
AP
но это так себе
V
типа что б всегда авторизация была только по лог/пас если закрыл браузер - заходишь заново?
EG
типа что б всегда авторизация была только по лог/пас если закрыл браузер - заходишь заново?
да
V
блин. меня сеошники канмями закидают за такое 😹
Gt
блин. меня сеошники канмями закидают за такое 😹
Пофиг на сеошников.
SC
блин. меня сеошники канмями закидают за такое 😹
При чём тут сеошники и авторизация?