Php+ssl

[tommy]

можно и ай-пи подменять

[Lanka]

Под конкретный?

[pastuhoff]

Сообщение от SvT

с напоминанием делают обычно...
на почту письмо.. если вы это послали, перейдите по ссылке... введите нью пасс.. если ящик стырят, тоже всё... но это ужё виа юзверя..

Я имею ввиду, можно ли перехватить письмо, идущее от моего сервера на мейл юзера. Видимо, тут защиты нет.

добавлено через 1 минуту

Сообщение от Lanka

Подделать кукис запросто. IP врядли

Имелось ввиду, может ли хакер перехватить установленный кук при https-соединении.

добавлено через 2 минуты

Сообщение от tommy

можно и ай-пи подменять

Как сделать заход с заданного ip? Ес-но, не через прокси, а именно подделать определенный ip-адрес.

[OverClocker]

 

Как сделать заход с заданного ip? Ес-но, не через прокси, а именно подделать определенный ip-адрес.

Уверяю Вас, никак! Я же говорю: технология такая, что апач (веб-сервер) допустит юзера до информации только после того, как получит его настоящий IP (или прокси). Это всё равно что, если Вы придёте на почту отослать посылку, а Вам скажут: "Мы без паспорта не отправим! Мы должны знать Вы это или не Вы".

 

Я имею ввиду, можно ли перехватить письмо, идущее от моего сервера на мейл юзера. Видимо, тут защиты нет.

Конечно можно. Провайдер вдруг захочет увидеть, чем вы там занимаетесь, увидит ценное письмо и перехватит. Всё это легко. Но никому не надо. Может ещё и троян подсунуть.

 

Имелось ввиду, может ли хакер перехватить установленный кук при https-соединении.

Да, может. Тут уж только через троян.

[pastuhoff]

Спасибо.
Насчет "подделать определенный ip-адрес" - это именно к tommy вопрос.
От троянов должен сам юзер защищаться, так что похоже, остается только вопрос по безопасному восстановлению пароля. Какие есть идеи?

[tommy]

подмена через заголовки (header). Поищу, выложу линк, где читал об этом

[OverClocker]

Pastuhoff, можно пароль сбрасывать, а не присылать. Типа "пройдите по ссылке для смены пароля". Это необходимо для того, чтобы злоумышленник не узнал пароля юзера и не пробовал этот пароль подбирать к другим ресурсам пользователя.

[pastuhoff]

Ну так пароля все-равно в базе нет. Само собой, что генерируется новый. Но на стадии отправки письма безопасность сильно падает, тк сбросить-то пароль может любой. Осталось перехватить письмо.
tommy, очень жду линк!

[X-Ception]

Ну чтобы пароль не сбрасывали то на e-mail отправляется пустое письмо со ссылкой на сайт, перейдя по которой уже устанавливается новый пароль.

[pastuhoff]

Благодарю, была и такая мысль. Но это не устраняет проблемы перехвата самого письма.