Edge logt niet uit met sluiten van venster

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Advanced Mendix Developer Order Management Systeme

Advanced Mendix Developer Order Management Systemen (NL) Den Haag HBO/WO IT Professional "Als Advanced Mendix Developer impact maken op de groeiende e-commerce markt? Je doet dit bij PostNL door met je DevOps team onze Mendix applicaties verder te ontwikkelen, waarbij je complexe logistieke business processen vertaalt naar applicaties die ons primaire proces ondersteunen". Wat ga je doen? PostNL wordt een postal tech company We nemen de ontwikkeling van onze IT applicaties in eigen hand door onze eigen software-ontwikkel-capability op te zetten. Als Advanced Mendix Developer ben je onderdeel van een multidisciplinair, agile werkend Business-IT-team. Samen met dit team bouw je onze logistieke IT-applicaties verder

Bekijk vacature »

Advanced Mendix Developer Order Management Systeme

Advanced Mendix Developer Order Management Systemen (NL) Den Haag HBO/WO IT Professional "Als Advanced Mendix Developer impact maken op de groeiende e-commerce markt? Je doet dit bij PostNL door met je DevOps team onze Mendix applicaties verder te ontwikkelen, waarbij je complexe logistieke business processen vertaalt naar applicaties die ons primaire proces ondersteunen". Wat ga je doen? PostNL wordt een postal tech company We nemen de ontwikkeling van onze IT applicaties in eigen hand door onze eigen software-ontwikkel-capability op te zetten. Als Advanced Mendix Developer ben je onderdeel van een multidisciplinair, agile werkend Business-IT-team. Samen met dit team bouw je onze logistieke IT-applicaties verder

Bekijk vacature »

Pagina: « vorige 1 2

Ozzie PHP

Ozzie PHP

23/06/2021 13:53:20
Quote Anchor link
Hehe ... cool :) Hoe weet de tab dan dat ie nog geen ID heeft? Roep je eerst de URL 'kaal' aan, en stuur je daarna het ID als POST-parameter mee of zoiets?
 
PHP hulp

PHP hulp

03/08/2021 23:31:09
 
Ad Fundum

Ad Fundum

23/06/2021 14:01:34
Quote Anchor link
Als je de URL intikt krijg je een HTML pagina waarin al de random ID zit als JS variabele.
Vanuit die basispagina wordt een eerste XmlHttpRequest verstuurd waarna de loginpagina wordt getoond.
Na het inloggen krijgt de browser een HTTP cookie met de tab ID als onderdeel van de cookienaam.

Bij elke HTTP request stuurt de browser altijd alle cookies mee by design, dus kan je in PHP aan de hand van de tab ID de juiste cookie er uit filteren.

En als je de pagina opnieuw laadt komt er een ander ID in te staan, en dan ben je voor het oog ook uitgelogd.
Gewijzigd op 23/06/2021 14:23:30 door Ad Fundum
 
Ozzie PHP

Ozzie PHP

23/06/2021 17:49:44
Quote Anchor link
Oké, klinkt leuk :-) Wel goed de veiligheid in de gaten houden en controleren of zo'n tab-id geen zwak punt is wat kan worden gemanipuleerd.
 
Ad Fundum

Ad Fundum

23/06/2021 22:26:15
Quote Anchor link
Vind ik ook :)

Maar qua veiligheid, wat zou er kunnen gebeuren?
Als je de token hebt, kan je nog niets want de cookies zijn HTTP cookies en standaard HttpOnly en dus niet met JS te lezen, dus XSS kan je wel vergeten. Verder zitten er de standaard beveiligingen op, zoals een CSRF-token, anti clickjacking, anti-iframe, en zo..
 
Ozzie PHP

Ozzie PHP

23/06/2021 23:29:02
Quote Anchor link
Klinkt goed :-) Geen idee wat er mis kan gaan ... zo te horen heb je er al goed over nagedacht!
 
Ad Fundum

Ad Fundum

24/06/2021 08:15:54
Quote Anchor link
Ik denk niet dat het misgaat, alles blijft binnen de browser zoals gewoonlijk, met tab ID's maak ik alleen onderscheid tussen verschillende tabs, meer is het niet.
Verder volg ik natuurlijk alle Cheat Sheets van OWASP die ik maar kan vinden, en blijf ik kritisch, meer kan ik niet doen.
Misschien is het nog leuk om zelf proberen m'n applicatie te hacken met de Zed Attack Proxy, maar zoveel tijd heb ik niet, dat moet nog een keer uitbesteed.
 

Pagina: « vorige 1 2



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.