информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetГде водятся OGRыВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
можно попробовать обойтись без POST метода и скриптов - если... 06.03.06 18:22  Число просмотров: 3148
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Всем привет
> Возникла такая задача:
>
> есть форма, посылающая данные в некий логин скрипт.
> Необходимо сделать промежуточную страницу, на которой
> произвести некие действия с посылаемыми данными (установить
> куки, проверить на валидность и тд), но что бы это было
> почти прозрачно для пользователя: то есть промежуточная
> страница в итоге автоматом должна выполнять логин в
> конечный скрипт.
> Можно конечно воспользоваться конструкцией типа
> <script>auth.submit();</script> , но может быть
> есть еще пути?
>

можно попробовать обойтись без POST метода и скриптов - если результирующий скрипт логина и промежуточный могут принимать данные в GET формате.

Т.е.
1. Форма методом GET шлется на промежуточный скрипт
2. Промежуточный ставит куки и делает редирект на целевую логин-страницу
3. Логин страница принимает параметры из урлы и
4. Редиректит на более-менее симпотную урлу, где в адресе логин/пароль не светятся, только sessid.

Метод не подойдет, если форма достаточно сложная, или результирующая логин-пага - "чужая" (хотя что это за вебмастер, который дает формам слаться с чужих refereroв?).

> А именно не хочется что бы на компьютере пользователя могла
> закешироваться эта промежуточная страница, поскольку в ней
> в скрытых полях формы в случае
> <script>auth.submit();</script> будут храниться
> логин и пароль, что не есть хорошо в смысле секурности

Кеширование рубится методом, который раскрыл другой докладчик - pragma no-cache. Там чуток больше вариантов хедеров, но суть приблизительно одна и та же.
<web building> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach