Am 26.09.2013 22:37, schrieb Olaf Radicke: > Hallo Tommi! > >> Tommi Mäkitalo <[email protected]> hat am 26. September 2013 um 21:24 >> geschrieben: >> >> >> Am 24.09.2013 00:25, schrieb Olaf Radicke: >>> Hi! >>> >>> Ich habe mich mal an einer Problemlösung auf Applikations-Ebene versucht. >>> Ich verwende dafür form tokens. Die Vorgehensweise habe ich hier >>> beschrieben: >>> >>> https://github.com/OlafRadicke/tntnet_the_book/blob/master/markdown/de/200_formular_reloads_verhindern.markdown >>> >>> Und praktisch in meinem eigenen Projekt ausprobiert: >>> >>> https://github.com/OlafRadicke/peruschim_cpp/tree/feature_trustet_user/src/SessionForm >>> >>> Hat jemand ein besseren Ansatz? >>> >>> Gruß >>> >>> Olaf >> Ich habe mir gerade mal Dein Dokument angeschaut. Es gibt in Tntnet eine >> einfachere Methode, einen eindeutigen Identifier zu erzeugen. Und zwar >> über "request.getSerial()". Der liefert eine eindeutige Seriennummer des >> Requests. > Ah, Das ist sehr hilfreich! Danke für den Tipp. Leider zählt die Funktion > zu denen die nicht (mit Doxygen) dokumentiert sind > (http://www.tntnet.org/apidoc/html/classtnt_1_1_http_request.html) > Ich werde die Serial aber mit dem random token kombinieren, sonst ist > der Token zu leicht zu erraten. Warum sollte man ihn nicht erraten können? Mit rand() erzeugst Du eine Pseudosicherheit. Wenn man Sessionhighjacking verhindern will, dann muss man SSL verwenden. Alles andere ist schlichtweg falsch verstandene Sicherheit.
Gruß Tommi ------------------------------------------------------------------------------ October Webinars: Code for Performance Free Intel webinars can help you accelerate application performance. Explore tips for MPI, OpenMP, advanced profiling, and more. Get the most from the latest Intel processors and coprocessors. See abstracts and register > http://pubads.g.doubleclick.net/gampad/clk?id=60133471&iu=/4140/ostg.clktrk _______________________________________________ Tntnet-general mailing list [email protected] https://lists.sourceforge.net/lists/listinfo/tntnet-general
