Форумы-->Ошибки и сбои (общее)-->
| Автор | Золотые карты можно купить без sign |
|---|
https://mirror.heroeswm.ru/forum_messages.php?tid=2573296 эта тема меня развела на покупку. А потом на еще одну, чтобы протестить. Откатить не прошу (но было бы неплохо).
Подобная ссылка - легкий способ мелкопакостного фишинга с целью отъема у честных граждан по 1000 золотых. Раз уж на остальных подобных ссылках есть проверка sign-ы персонажа, то и сюда прилепить надо. | | уже отрепорчено | Пожалуйста не используйте sign для защиты от CSRF-атак. Некоторые люди выкладывают их по не знанию на форуме и этим можно пользоваться (sign-ы можно искать через поиск по форуму - я нашёл штук 15). Сейчас единственный способ сменить свой sign это поменять ник, а это стоит бриллианты и к тому же не каждый игрок захочет менятъ свой ник принудительно.
Сделайте просто дополнительный параметр - например 32-значный рандомный HEX-token (который не начинается на 0 - в PHP есть проблема с оператором "==" и стринагми, которые начинаются на 0, либо используйте "===" (как с капчей на работу, где нолика тоже нет - там у вас используется оператор "==" судя по PHP исходникам)), который будет защищять от CSRF атак, и уберите sign - он очень плохой: "Если кто-то твой sign узнал - ты навсегда его потерял". | а в чем трабл то
не учили не кликать на непонятные ссылки? | Нужно задаться вопросом - зачем людям вообще ссылка на покупку золотой карты?
Потому что во время турнира её нет, вот тема:
https://mirror.heroeswm.ru/forum_messages.php?tid=2572319
а в чем трабл то
не учили не кликать на непонятные ссылки?
Вы молодец, что на них не кликаете! Так держать! |
К списку тем
|
