ต่อไป »

[Nato_One]

ส่งค่า SESSION  จาก เครื่องตัวเอง ไปยังเว็บไซต์ ยังไงค่า 
คือ ตอนนี้ถ้าใน website ไม่มีการ login มาจะไม่ผ่านเป็นการเก็บค่าแบบ SESSION   แต่คราวนี้ลองส่ง link  จากที่เคื่องไปที่ web  แล้ว ไม่ผ่านค่ะ ไม่ทราบว่าพอมีวิธีการไหมค่ะว่าจะทำอย่างไรค่ะ

[sbaydee]

  งงกับคำถามครับ ขยายความให้เห็นภาพอีกหน่อยครับ

[ยิ้มโค้ด.คอม]

SESSION มันส่งค่าข้ามเครื่องหรือข้ามโดเมนไม่ได้นิครับ

[mikeyx]

ทำไม่ได้ครับ

เรื่องความปลอดภัยเลยนะนั้น

[jubpas]

คือพยามจะเอาค่า Session จากอีกเครื่อง มาใช้อีกเครื่องแน่เลย เข้าใจถูกอ่ะป่าว 

มันเรื่องความปลอยภัยเลยนะครับนั่น โดยปกติแล้วไม่ได้ครับ
จะเอาให้ได้คุณต้อง Hack ละครับ (คุณต้องเก็บรายละเอียด response ที่ได้รับจาก server เครื่องที่เข้าได้ให้หมด )
และส่งผ่าน Fake Http Request ประมาณนี้ ศึกษาต่อเองนะครับผมก็รู้แค่นี้แหละ^^

[dekdoo]

กะจะ hack session ล่ะสิ (เครื่องผู้ใช้ ยิงไป server)
ถ้าทำได้ผมก็อยากรู้เหมือนกัน

[gsonic]

ใช้ OAuth 2 แทนครับ
เหมือนกับที่ graph.facebook.com ใช้หรือ api ของเจ้าใหญ่ๆใช้นะครับ
authen โดยใช้ token ที่มีวันหมดอายุเอาแทนครับ

[ballalistit]

ส่งข้าม domain ไม่ได้แน่นอนครับ อีกเสียง ถ้าต้องการใช้พวก facebook login หรือ อะไรก็แล้วแต่ให้ลองใช้ api ของแต่ละเจ้าดูครับ หรือถ้าอยากได้เยอะ ๆ hybridauth ช่วยท่านได้

[Nato_One]

ไม่ได้แฮกระบบค่ะ  เครื่องเดียวกันค่ะ  จะส่งข้อมูลโดยที่ไม่ต้อง  login  อีกรอบค่ะ   พอจะมีวิธีไหมค่ะ

[ยิ้มโค้ด.คอม]

ไม่ได้แฮกระบบค่ะ  เครื่องเดียวกันค่ะ  จะส่งข้อมูลโดยที่ไม่ต้อง  login  อีกรอบค่ะ   พอจะมีวิธีไหมค่ะ

ผมอ่านในกระทู้เหมือนไม่ใช่เครื่องเดียวกันหรือเปล่าครับ

เครื่องตัวเอง ไปยังเว็บไซต์

เครื่องตัวเอง = เครื่องคอมที่บ้านซึ่งใช้ localhost
เว็บไซต์ = เครื่องเซิรฟ์เวอร์ที่อยู่บนเครื่อข่ายอินเตอร์เน็ต

ถ้าเข้าใจไม่ผิดก็ไม่ได้ครับ แต่ถ้าเข้าใจผิดก็ขออภัยด้วยล่ะกันครับ

[antimage3114]

 

[Nato_One]

ไม่ได้แฮกระบบค่ะ  เครื่องเดียวกันค่ะ  จะส่งข้อมูลโดยที่ไม่ต้อง  login  อีกรอบค่ะ   พอจะมีวิธีไหมค่ะ

ผมอ่านในกระทู้เหมือนไม่ใช่เครื่องเดียวกันหรือเปล่าครับ

เครื่องตัวเอง ไปยังเว็บไซต์

เครื่องตัวเอง = เครื่องคอมที่บ้านซึ่งใช้ localhost
เว็บไซต์ = เครื่องเซิรฟ์เวอร์ที่อยู่บนเครื่อข่ายอินเตอร์เน็ต

ถ้าเข้าใจไม่ผิดก็ไม่ได้ครับ แต่ถ้าเข้าใจผิดก็ขออภัยด้วยล่ะกันครับ

ใช่แล้วค่ะ สามารถทำได้หรือป่าวค่ะ

[sbaydee]

ไม่ได้แฮกระบบค่ะ  เครื่องเดียวกันค่ะ  จะส่งข้อมูลโดยที่ไม่ต้อง  login  อีกรอบค่ะ   พอจะมีวิธีไหมค่ะ

ผมอ่านในกระทู้เหมือนไม่ใช่เครื่องเดียวกันหรือเปล่าครับ

เครื่องตัวเอง ไปยังเว็บไซต์

เครื่องตัวเอง = เครื่องคอมที่บ้านซึ่งใช้ localhost
เว็บไซต์ = เครื่องเซิรฟ์เวอร์ที่อยู่บนเครื่อข่ายอินเตอร์เน็ต

ถ้าเข้าใจไม่ผิดก็ไม่ได้ครับ แต่ถ้าเข้าใจผิดก็ขออภัยด้วยล่ะกันครับ

ใช่แล้วค่ะ สามารถทำได้หรือป่าวค่ะ

session เป็นค่าที่ถูกสร้างและจัดเก็บอู่บน server ที่ประมวลผล ณ ขณะนั้น ไม่มีทางที่จะยัด session จากเครื่องนึงไปอีกเครื่องนึงด้วยเหตุผลความปลอดภัย(นอกจากจะแฮกเอา อันนี้ผมไม่รู้)
แต่มีอีกวิธีคือใช้ cookie ในการส่งค่าเอาแล้วก็กำหนด โดเมนให้กับ Cookie หรือไม่ก็ใช้ token สร้างรหัสสำหรับ auth ทั้ง 2 ฝ่ายและกำหมดให้มันสุ่มใหม่ทุกครั้ง อันนี้วุ่นวายไปศึกษาเองครับ แนะนำได้เท่านี้

[goldxp]

ที่เครื่องส่วนตัว
สร้างไฟล์ send-session.php
<?php session_start(); ?>
<form action="hxxp://www.realwebsite.com/clone-session.php" method="post">
<input type="hidden" name="data" value="<?php echo htmlspecialchars(convert_uuencode(serialize($_SESSION)));?>" />
<input type="submit"/>
</form>

ที่เว็บไซต์จริงก็สร้างไฟล์มารับข้อมูล
clone-session.php
<?php
session_start();
$_SESSION = unserialize(convert_uudecode($_POST['data']));
?>

แค่เข้ารหัส session และส่งไปเว็บจริงและถอดรหัสกลับมาเหมือนเดิมครับ
ปล. โค้ดนี้ไม่มี security นะครับ ถ้าคนรู้ชื่อไฟล์โปรแกรมนี้ก็โดน hack ได้ทันทีนะครับ

[Nato_One]

ได้แล้วค่ะ คือ ส่ง Username  ไปหน้า  loging  ก่อนเพื่อตรวจสอบ แล้วจึงผ่านไปยังหน้าที่ต้องการ ค่ะ  ไม่รู้ว่าแบบนี้  security ไหมค่ะ