NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Avatar
Václav Methez
Člen
Avatar
Václav Methez:19.4.2018 18:53

Čau chci se jen zeptat a ověřit si jestli může být náhodně vygenerovaný token co se pošle do e-mailu kvůli potvrzení přenášen v URL. Jestli tam náhodou nehrozí nějaké riziko zneužití nebo tak. Díky.

 
Odpovědět
19.4.2018 18:53
Avatar
Jan Lupčík
Tvůrce
Avatar
Odpovídá na Václav Methez
Jan Lupčík:19.4.2018 19:21

Ahoj, jaké zneužití by mělo vzniknout? Osobně v tom nevidím žádný problém. :)

Nahoru Odpovědět
19.4.2018 19:21
TruckersMP vývojář
Avatar
Václav Methez
Člen
Avatar
Odpovídá na Jan Lupčík
Václav Methez:19.4.2018 20:02

Ano díky. Spletl jsem si to se session_id protože kdybych místo token chtěl ověření právě pomocí session_id tak by ho mohl někdo vyfouknout a případně zneužít. Naštěstí to pomocí token class funguje perfektně.

 
Nahoru Odpovědět
19.4.2018 20:02
Avatar
Patrik Smělý
Tvůrce
Avatar
Odpovídá na Václav Methez
Patrik Smělý:19.4.2018 23:35

Ahoj,

napadá mě jedině tak odposlech komunikace mezi tvým serverem a klientem pokud by tedy tvůj web nefungoval na SSL je možné komunikaci skrz stejnou WI-FI (např. v kavárně) komunikaci odchytit avšak tomuto jde dnes již jednoduše předejít pomocí právě SSL a nebo zrovna v tomto případě pokud bys daný token hned po prvním použití zablokoval útočník by neměl šanci jak ho využít jelikož když by jej už odposlech bylo by víceméně pozdě protože token by už nebyl validní.

 
Nahoru Odpovědět
19.4.2018 23:35
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 4 zpráv z 4.