 |
|
Модераторы: LSD, AntonSaburov |
 
|
|
Что делать против подвешивания скрипта на URL, в TomCat, например 
| Andrey1 |
|
|||
 Опытный  Профиль Группа: Участник Сообщений: 621 Регистрация: 27.2.2004 Где: Moscow Репутация: 2 Всего: 5 |
Привет,
Есть база, при регистрации в которой логин и пароль передаются как параметры в http запрос. Нем сомнений в том, что ни найдется злой человек  , который повесит скрипт на этот запрос (то есть напишет программу, которая будет посылать запрос с различными новыми параметрами, который будет вызывать пополнение базы - там можно зарегистрировать 1 млн. пользователей, например...). Вопрос, как можно противостоять этой потенциальной проблеме?Функция encodeURL - она вообще об этом ? Это сообщение отредактировал(а) Andrey1 - 11.11.2005, 16:46 -------------------- Созерцание и мудрость - едины. Соцерцание - это основа мудрости, а мудрость - это функция (т.е. умение использовать) созерцания. из сутры помоста шестого патриарха Хуэйнена |
|||
|
||||
Загрузка ...
| Souljah |
|
|||
|
Шустрый Профиль Группа: Участник Сообщений: 148 Регистрация: 24.12.2004 Репутация: 3 Всего: 7 |
какой именно проблеме?
|
|||
|
||||
| AntonSaburov |
|
|||
 Штурман Профиль Группа: Модератор Сообщений: 5658 Регистрация: 2.7.2002 Где: Санкт-Петербург Репутация: 8 Всего: 118 |
Значит надо работать по HTTPS. |
|||
|
||||
| Andrey1 |
|
|||
|
Опытный Профиль Группа: Участник Сообщений: 621 Регистрация: 27.2.2004 Где: Moscow Репутация: 2 Всего: 5 |
Тогда два вопроса: 1) Что это такое (в чем отличие от http; как его использовать)? 2) Почему с https этой проблемы не будет? -------------------- Созерцание и мудрость - едины. Соцерцание - это основа мудрости, а мудрость - это функция (т.е. умение использовать) созерцания. из сутры помоста шестого патриарха Хуэйнена |
|||
|
||||
| COVD |
|
|||
|
Эксперт Профиль Группа: Завсегдатай Сообщений: 1655 Регистрация: 26.7.2005 Репутация: 4 Всего: 43 |
Программа, обрабатывающая запрос, должна запоминать адрес, с которого этот запрос пришел. И анализировать. Если число запросов в единицу времени превышает лимит, то запросы с этого адреса не обрабатываются или что-то еще. Примерно таким образом работает защита от попыток угадать логин-пароль методом перебора.
|
|||
|
||||
| Andrey1 |
|
|||
|
Опытный Профиль Группа: Участник Сообщений: 621 Регистрация: 27.2.2004 Где: Moscow Репутация: 2 Всего: 5 |
Идей можно много придумать. Но в таких случаях лучше использовать готовые технологии (если они есть). -------------------- Созерцание и мудрость - едины. Соцерцание - это основа мудрости, а мудрость - это функция (т.е. умение использовать) созерцания. из сутры помоста шестого патриарха Хуэйнена |
|||
|
||||
| Andrey1 |
|
|||
|
Опытный Профиль Группа: Участник Сообщений: 621 Регистрация: 27.2.2004 Где: Moscow Репутация: 2 Всего: 5 |
А если передавать данные через сессию (так, чтобы они не отображались в http запросе) - это будет решением? Или я вообще не понимаю о чем говорю?
скоро буду ставить смайлик с красной стеной  Это сообщение отредактировал(а) Andrey1 - 14.11.2005, 10:25 -------------------- Созерцание и мудрость - едины. Соцерцание - это основа мудрости, а мудрость - это функция (т.е. умение использовать) созерцания. из сутры помоста шестого патриарха Хуэйнена |
|||
|
||||
| bars_uz |
|
|||
|
Шустрый Профиль Группа: Участник Сообщений: 106 Регистрация: 26.3.2005 Где: Tashkent Репутация: нет Всего: нет |
Bratab ispolzue https...
cherez sessi toje budet totje problema... |
|||
|
||||
|
|
| Правила форума "Java" | |
|
|
Если Вам помогли, и атмосфера форума Вам понравилась, то заходите к нам чаще! С уважением, LSD, AntonSaburov, powerOn, tux. |
| 1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | Java EE (J2EE) и Spring | Следующая тема » |
[ Время генерации скрипта: 0.0677 ] [ Использовано запросов: 21 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |