Python-сообщество
Форум сайта python.su
- Вы не вошли.
Уведомления
Группа в Telegram: @pythonsu
![[RSS Feed]](/static/djangobb_forum/img/feed-icon-small.png "[RSS Feed]"){kind=icon}
#1 Ноя. 23, 2015 16:53:42
- kpotko
-
-
- Зарегистрирован: 2015-01-07
- Сообщения: 21
- Репутация:
1 
- Профиль Отправить e-mail
Параметры запроса
Собственно имеется форма для регистрации/авторизации пользователя
после нажатия на кнопку происходит редирект на следующую страницу.
Проблема : при просмотре параметров “сети” в браузере мозила , можно найти параметры этого пост запроса .
Вопрос : насколько это безопасно, и можно ли сделать так, чтобы после редиректа не показывались эти параметры?
Офлайн
#2 Ноя. 23, 2015 19:33:19
- ajib6ept
-
-
- От: От: От: От: От: От: От: От:
- Зарегистрирован: 2013-08-04
- Сообщения: 297
- Репутация:
26
- Профиль Отправить e-mail
Параметры запроса
kpotko
Вопрос : насколько это безопасно, и можно ли сделать так, чтобы после редиректа не показывались эти параметры?
Показывает тело пост-запроса, что в этом плохого? (мы же говорим пост запросы при регистрации/авторизации ?)
Параметры пост запроса скрыть не удастся, разве что можно их зашифровать.
_________________________
Python golden rule: Do not PEP 8 unto others; only PEP 8 thy self.
Don't let PEP 8 make you insanely intolerant of other people's code.
Офлайн
#3 Ноя. 24, 2015 03:57:01
- kpotko
-
-
- Зарегистрирован: 2015-01-07
- Сообщения: 21
- Репутация:
1
- Профиль Отправить e-mail
Параметры запроса
ajib6eptДа, при авторизации , в строке параметры можно увидеть : login = 1 ; password = 1
Просто, не знаю как с этим делом на джанге, но на сайтах, написанных на пыхе при подмене параметров пост запроса можно получать достаточно интересную информацию, к примеру скрытые посты, которые проходят модерацию и еще не отображаются при обычном поиске.
Не подскажешь, как можно зашифровать их тогда?
Офлайн
#4 Ноя. 24, 2015 04:25:41
- balalay12
-
-
- Зарегистрирован: 2014-07-28
- Сообщения: 92
- Репутация:
4
- Профиль Адрес электронной почты
Параметры запроса
Офлайн
#5 Ноя. 24, 2015 05:58:47
- ajib6ept
-
-
- От: От: От: От: От: От: От: От:
- Зарегистрирован: 2013-08-04
- Сообщения: 297
- Репутация:
26
- Профиль Отправить e-mail
Параметры запроса
Просто, не знаю как с этим делом на джанге, но на сайтах, написанных на пыхе при подмене параметров пост запроса можно получать достаточно интересную информацию, к примеру скрытые посты, которые проходят модерацию и еще не отображаются при обычном поиске.
Приложения могут уязвимы, а могут и нет, тут не от языка зависит.
Не подскажешь, как можно зашифровать их тогда?
Шифруем на клиенте (в нашем случае браузер) и все может быть расшифровано, мы можем только усложнить отслеживание post запроса.
Как самый простой вариант шифрования это Шифр цезаря
Вижу возможных два варианта
1.
Алгоритм шифрования:
- вносим текст в поле формы на web-странице
шифруем текст с помощью функций Java Script
отправляем зашифрованный текст на сервер, где сохраняем в базу данных.
Обратный процесс:
- получаем зашифрованные данные из базы данных с сервера
дешифруем их с помощью функций Java Script
выводим расшифрованный текст в нужное место на web-странице.
2.
Алгоритм шифрования:
- вносим текст в поле формы на web-странице
шифруем текст с помощью функций Java Script
перед сохранением расшифровываем текст, и сохраняем в базу данным расшифрованный текст
_________________________
Python golden rule: Do not PEP 8 unto others; only PEP 8 thy self.
Don't let PEP 8 make you insanely intolerant of other people's code.
Офлайн