How to become an author
Search
Write a publication
Pull to refresh

Comments 10

Если уж и кешировать сетевые запросы, то понятно, что не нужно кешировать конфиденциальные данные КО!
Total votes 3: ↑3 and ↓0+3
Спасибо за замечание. Идеей статьи было продемонстрировать, что поведение NSURLConnection является потенциально уязвимым. Кэширование происходит совершенно прозрачно (т.е. неявно) для разработчика и поэтому может стать причиной утечки конфиденциальных данных, например, вследствие неосведомленности разработчика о тонкостях поведения NSURLCache.
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
лол, а чем пост защищенней? тем что в урле не палится? очень странное у вас представление о безопасности
This comment wasn’t rated yet0
В целом, POST лучше. Это если рассматривать общий случай:

1) пароли не сохраняются в дефолтовые логи апача
2) пароли не сохраняются в истории браузера
3) пароли не рискуют утечь через «Referer:», хотя зависит от ряда условий конечно, но все же…

Это в общем случае для юзер-форм аутентификации.

В REST API, более значима проблема 1). То есть надо париться с логингом, что бы пароли не сохранять на сервере в открытом виде.
This comment wasn’t rated yet0
Грубо говоря:

GET /page/?password=qwerty HTTP/1.1
Host: bestonlinefreesecurity.com

vs

POST /page/ HTTP/1.1
Host: bestonlinefreesecurity.com
password=qwerty

Безопасность!
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
бороться надо не с последствиями :)
This comment wasn’t rated yet0
UFO just landed and posted this here
ага, а в коде mysql_query(«select * from users where password=». $_REQUEST[password])
This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr