Сделать опционально возможность авторизации через URL

 
 
 
 
Статистика
Новые 9112
На голосовании 5733
В работе 301
Внедрено 1256
Отложено 173
Без статуса 13
Всего идей 16588
Облако тегов
.NET Forge CMS ASP.NET Aurigma CUser HTML idea management recaptcha work_area Валидность веб-аналитика Виджеты визуальный редактор Время Деньги диалог выбора сотрудников дизайн документооборот задачи Задачи 2.0 Изображения интернет-магазин комментарии личная панель магазин меню микроблоги настройки продукта Опросы оформление Персональный рабочий стол пользовательские поля профиль соц.сети Рабочие группы размеры изображений Свойства инфоблоков свойство "Файл" события Стикеры стили Универсальные списки файлы фильтр фильтры хранение файлов цена ЧПУ шаблонизация шаблоны сайтов Экстранет электронная коммерция
 
 
 
 
Последние комментарии
Пользователь 114664 23.11.23 13:37
Событие перед обновлением групп пользователя
Всегда должно быть 2 события: До и После. Поддерживаю идею. Подробнее
Пользователь 148126 22.11.23 17:12
Обязательность полей при условии
И я согласен.И у меня + уже давно не работает. Подробнее
Пользователь 6747256 22.11.23 16:06
Битрикс24, как система управления муниципальным образованием
Здесь могут быть проблемы с безопасностью. Коробку потянут далеко не все муниципалы (дело не столько в стоимости ПО, ско... Подробнее
Пользователь 5875996 22.11.23 7:42
Обязательность полей при условии
Согласен! Нажимаю + но он не работает... Может я чего-то не знаю?... Раньше работал.... Подробнее
Пользователь 5527850 22.11.23 0:08
svg картинки
23 год, как добавить svg без костылей? Подробнее
Рейтинг: 4.1375  
На голосовании
Предложил Пользователь 15387 19.01.2012 12:14:51

Сделать опционально возможность авторизации через URL

Предлагаю реализовать некую настройку по отключению возможности авторизации на сайте с помощью параметров передаваемых в адресной строке браузера вида:

?backurl=%2F&AUTH_FORM=Y&TYPE=AUTH&Login=%D0%92%D0%BE%D0%B9%D1%82%D0%B8&USER_PASSWORD=password&AUTH_FORM=Y&TYPE=AUTH&Login=%D0%92%D0%BE%D0%B9%D1%82%D0%B8&USER_LOGIN=philipp%40ru.ru&USER_PASSWORD=passw
Потому, что уже не один сканер безопасности находит уязвимость атаки по середине, т.к. логин и пароль в данном случае передаётся в открытом виде.
Безопасность
Комментариев: 6

Рейтинг: 0  
Пользователь 2106 19.01.2012 13:39:56
Это где Вы GET-запрос такой нашли?
Рейтинг: 0  
Пользователь 15387 19.01.2012 13:52:51
/bitrix/modules/main/include.php
Рейтинг: 0  
Пользователь 14039 20.01.2012 14:13:05
Походу у вас "продвинутая" версия битрикса :)У меня ничего такого нигде нет.
Рейтинг: 0  
Пользователь 15387 23.01.2012 19:20:53
Попробуй авторизоваться http://www.1c-bitrix.ru/?AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=yourlogin&USER_PASSWORD=yourpass
Рейтинг: 0  
Пользователь 15387 02.02.2012 16:12:36
Ужас, кто же выкладывает свои логин/пароль вот так?!
(поменял тебе ссылку в посте выше, будь внимательней в след. раз)
Они не рабочие были..)


Рейтинг: 0  
Пользователь 148007 02.07.2013 12:13:51
При BASIC авторизации пароль тоже передается почти  в открытом виде (base64 в POST запросе) и что? Возможность такой авторизации не предполагает ее обязательности. К тому же для защиты от MITM еще никто не отменял HTTPS.
 
Продукты Управление сайтом
Битрикс24
Интернет-магазин + CRM
Решения Для интернет-магазинов
Каталог готовых решений
Внедрение Выбрать партнера
Проверить партнера
Стать партнером

Контакты Поиск
Оставайтесь с нами:


Контент для лиц от 16 лет и старше