В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Svelte [svelt]

1770 membersпожаловаться на группу
2020 November 23

PM

Pavel 🦇 Malyshev in Svelte [svelt]
Andrey Sitnik
То есть можно только один раз по старому sid получить новый sid?

И это сделает либо пользователь либо атакующий?
ну да, конечно. есть актуальный и есть новый. новый заменяет актуальный, значит предыдущий актуальный уже не актуальный)
источник
10:57пожаловаться#1

AS

Andrey Sitnik in Svelte [svelt]
Pavel 🦇 Malyshev
ну да, конечно. есть актуальный и есть новый. новый заменяет актуальный, значит предыдущий актуальный уже не актуальный)
Но это не проблема для атакующего, он может делать чаще запросы и остаться с новым токеном
источник
10:58пожаловаться#2

AS

Andrey Sitnik in Svelte [svelt]
(кстати, одноразовость замены токена может создасть проблемы если одновременно было отправлено несколько HTTP-запросов, там явно старый sid умирает не сразу и есть сложный механизм для этого окна пока меняются sid)
источник
10:59пожаловаться#3

PM

Pavel 🦇 Malyshev in Svelte [svelt]
Andrey Sitnik
Но это не проблема для атакующего, он может делать чаще запросы и остаться с новым токеном
в теории может, но на практике суть атаки в стрытности всегда. если ты делаешь атаку и это сразу заметно, то толку в ней мало. смысл же юзать авторизацию совместно с юзером, в тайне от него. Если же запросы делаются очень часто, так что юзер даже не будет успевать логинится, то это сразу запрос в службу безопастности со всеми вытекающими
источник
10:59пожаловаться#4

PM

Pavel 🦇 Malyshev in Svelte [svelt]
Andrey Sitnik
(кстати, одноразовость замены токена может создасть проблемы если одновременно было отправлено несколько HTTP-запросов, там явно старый sid умирает не сразу и есть сложный механизм для этого окна пока меняются sid)
да выше писал, время подбирается под особенности проекта
источник
11:00пожаловаться#5

PM

Pavel 🦇 Malyshev in Svelte [svelt]
Pavel 🦇 Malyshev
но мы так конечно не делаем, так как там проблемы с конкурентностью начинаются
тут вот
источник
11:00пожаловаться#6

AS

Andrey Sitnik in Svelte [svelt]
Pavel 🦇 Malyshev
тут вот
То есть у вас sid не меняется?
источник
11:00пожаловаться#7

PM

Pavel 🦇 Malyshev in Svelte [svelt]
Andrey Sitnik
То есть у вас sid не меняется?
меняется но не каждый запрос)
источник
11:00пожаловаться#8

PM

Pavel 🦇 Malyshev in Svelte [svelt]
но возможность такая есть
источник
11:01пожаловаться#9

AS

Andrey Sitnik in Svelte [svelt]
Pavel 🦇 Malyshev
меняется но не каждый запрос)
А когда меняется?
источник
11:01пожаловаться#10

AS

Andrey Sitnik in Svelte [svelt]
Именно у вас? Раз в час?
источник
11:01пожаловаться#11

PM

Pavel 🦇 Malyshev in Svelte [svelt]
я больше про общую гибкость, когда бекенд может выставлять время жизни своего токена как ему нужно, в зависимости от состава и характера клиентов. фронтенде, где вкладка может висеть месяцами - может выставлять свое время жизни
источник
11:01пожаловаться#12

PM

Pavel 🦇 Malyshev in Svelte [svelt]
Andrey Sitnik
Именно у вас? Раз в час?
подстравиваем под каждый проект
источник
11:02пожаловаться#13

PM

Pavel 🦇 Malyshev in Svelte [svelt]
это просто циферку поменять в конфиге)
источник
11:02пожаловаться#14

AS

Andrey Sitnik in Svelte [svelt]
Ага, а какие варианты бывают? Какое самое минимальное время жизни токена?
источник
11:03пожаловаться#15

PM

Pavel 🦇 Malyshev in Svelte [svelt]
Andrey Sitnik
Ага, а какие варианты бывают? Какое самое минимальное время жизни токена?
делали и каждый запрос смену. на некоторых проектах смена просиходит раз в день или раз в месяц. есть еще отдельно время жизни сессии кстати. это когда юзера в любом случае выкинет на логин
источник
11:04пожаловаться#16

DK

Dan Kozlov in Svelte [svelt]
Допрос Павла с пристрастием 🍿
источник
11:04пожаловаться#17

PM

Pavel 🦇 Malyshev in Svelte [svelt]
есть время жизни сессии с продлением, то есть время жизни считается не от момента создании сессии, а от момента последней активности
источник
11:05пожаловаться#18

AP

Alexander Ponomarev in Svelte [svelt]
я так и не понял смысла менять sid передаваемый через http only куку, его можно увести только имея доступ к девтулзам =(
источник
11:05пожаловаться#19

PM

Pavel 🦇 Malyshev in Svelte [svelt]
например, через неделю не активности юзера, автоматом дропается сессия
источник
11:05пожаловаться#20