Приффки как делиффки Как средствами php подменять фотографии ВК? Пушта при использовании фоторедактора вк, новая фотка загружается на сервер целиком, то есть, с таким же успехом можно и любую другую залить. Кто имел дело?

imagemagic??

а, и вообще-то ip. Сверяется.

если я угоню сессию админа и зная его IP+UA да еще соль - я автоматом получаю его пароль.

imagemagic??

я про магию с сервером вк

какие запросы отправлять

какие заголовки

и т.д.

Ты хочешь что сделать? интегрировать функционар редактора через php?

ну как минимум нужен упомянуть что при такой схеме соль должна быть уникальная для каждого юзера

почему?: Как ты собрался расхешировать хеш с неизвестным алгоритмом, зная какую-то часть хешированного значения? Это тебе не unsha256

почему?: Как ты собрался расхешировать хеш с неизвестным алгоритмом, зная какую-то часть хешированного значения? Это тебе не unsha256

Всегда нужно исходить из принципа "взломщик имеет доступ к исходникам". Это азы безопастности.

Ты хочешь что сделать? интегрировать функционар редактора через php?

нет. Обновлять фотографию в ВК, не загружая новую. По идее, фоторедактор льет отредактированную фотку, как новую. Значит, средствами пыхи тоже можно. Кароч, ищу человека, который уже сниффал это все и знает.

Взломщик имеет доступ к исходникам тогда, когда сервер взломали, а в таком случае он откроет БД и утащит\вставит нужную информацию. Или может всю БД шифровать?

Не важно как он получил исходиники. Он мог утащить их у тебя из гита\с компа или любым другим способом.

Если ты исходишь из принципа "один хрен никто не увидит", то у меня для тебя плохие новости

опа опа хакеры собрались

Ты не помнишь шумиху с .svn директориями?

Когда утянули исходники крупнейших сайтов

Когда утянули исходники крупнейших сайтов

ну сейчас так никто не делает

ну сейчас так никто не делает

причем тут это? Тогда тоже думали "у нас все в шоколаде"

Окей, зная пароль, ip, useragent ты таинственной магией расшифровал соль, черт с тобой. Ты можешь подделать куку, но тебя не пустит авторизация при сверке ip и useragent. useragent еще можно подделать, с ip не получится

Пока инфа не уплыла в паблик, ею успешно пользовались в привате.

Окей, зная пароль, ip, useragent ты таинственной магией расшифровал соль, черт с тобой. Ты можешь подделать куку, но тебя не пустит авторизация при сверке ip и useragent. useragent еще можно подделать, с ip не получится

у тебя в куке пароль. Я знаю 3 составляющих из 4. Дальше сам додумаешь?

Ну а какие предложения то?

Ну а какие предложения то?

Я уже писал выше

Всегда нужно исходить из принципа "взломщик имеет доступ к исходникам". Это азы безопастности.

Если исходники вместе с env-файлом, где пароли - то всё, дело труба :)

у тебя в куке пароль. Я знаю 3 составляющих из 4. Дальше сам додумаешь?

У меня в куке хеш. Необратимый

У меня в куке хеш. Необратимый

Что мне мешает его подобрать?

если у тебя есть исходники всего и вся - ничего

Ну так об этом и разговор

ну и гора хлама за кучу денег

Ты говоришь что "да похер, один хрен никто не знает алгоритма хеша"

ну и гора хлама за кучу денег

какая гора хлама?

вычислительная. Дехеш нестандартного хеширования. Может, хеш вообще обрезанный пополам

ладно, не претендую на безопасность, спать хочу %)

Так пока рецепта не услышали

>хеш вообще обрезанный пополам Т.е ты сознательно уменьшаешь криптостойкость?

Так пока рецепта не услышали

какого?

Ну как сделать так чтобы зная исходники нельзя было подобрать хэш

хранить его на бумажке

которая хранится в пакете, который зашит в тело к одному из девелоперов, но неизвестно какому

знает только владелец проекта

Ну как сделать так чтобы зная исходники нельзя было подобрать хэш

Не использовать общедоступные данные для создания хеша?

Можно и так

не делать сайты наверн %) И вообще отрубиться от интернета. Или выдавать рандомные токены в куках, создавая запись в БД. Но конечно, истинный мастер похищения кук украдет куки, поэтому надо записывать еще и ip и прочую сессионную фигню

Ну как сделать так чтобы зная исходники нельзя было подобрать хэш

он предложил использовать IP+UA+PWD. IP+UA утягиваются вместе с хешем через XSS

Не использовать общедоступные данные для создания хеша?

А что тогда можно использовать из env?

А что тогда можно использовать из env?

Эм, использовать рандомные исходные данные?

А привязку hash -> ip хранить отдельно?

Ну тогда сделать двухфакторную авторизацию на каждый чих)

Для админских прав)

Ну тогда сделать двухфакторную авторизацию на каждый чих)

Ну можно и двухфакторную. Все зависит от нужд.

Если у тебя бложик на 2 страницы, то хоть открытый пароль в куках храни

Так в принципе любой банкинг работает, на каждое действие двухфакторка

но не работает самый "защищенный" мессенджер)

чем в php http-реквест делают?

curl?

file_get_contents

curl?

А где по нему пример добыть? Он дико настраивается вроде

Ниче дикого

$cmd = "wget -q \"$url\" -O $outputfile";

http://php.net/manual/it/httprequest.send.php еще такое есть

это вроде самое быстрое)

file_get_contents быстрее написать

А вообще не ебать мозг и использовать Guzzle

А где по нему пример добыть? Он дико настраивается вроде

мы уже тут решилич то лучше сразу юзать газзл

Чтобы потом не страдать

хочу страдать, читаю curl

ERROR: S client not available

file_get_contents быстрее работает, curl более кастомизабелен, есть еще варик с сокетами, но это если ты реквест на свой сервис отправляешь

$cmd = "wget -q \"$url\" -O $outputfile";

будет неловко, если на сервере не окажется wget

но это самый быстрый способ если нужно тупо дернуть урл

нужно неспешно и гордо пройтись по документации, познавая новое и учась им пользоваться

будет неловко, если на сервере не окажется wget

будет неловко если добавить ;rm -rf / :)

:D

ты забыл самое главное

*

и пользователь www-data окажется не в состояньи

ой, пардон, там .

rm -rf .

половине файлов на сервере это не поможет

а еще можно шелл залить

и много другого сделать

но это не для детей

так что всем спать

хорошо, дедушка %)

Надо в seo чат внедрится

Сейчас seo неактуально

сейчас эра гроут хакинга, конверсии трафика и т.п.

Да они там до сих пор за тайтлы спорят\

https://telegram.me/seochat

1600 человек...

пздц

можно спросить про то как двухфакторка влияет на сео

А это не касается СЕО

?

но трольнуть можно)

Мне аж самому захотелось

у них там с 1600 человек тухлее, чем у нас с 600

Да они там до сих пор лохов окучивают)

у них крч 300 сообщений за день