Иногда нужно зайти в чужой аккаунт системы, чтобы проверить, что всё работает в норме у пользователя. В ларавель есть такая функция, что можно авторизироваться в чужой аккаунт по id.
Предыдущие разработчики создали вход по ссылке типо site.com/loginvbng24fdsfs?id=1 , где id уникальный номер пользователя.
Безопасно ли использовать такой вход или нужно как-то по другому заходить в аккаунты пользователей? Могут ли злоумышленники узнать как-то эту ссылку, например, в истории браузера?
Возможно кто-то подскажет, как сделать безопасный и БЫСТРЫЙ вход в аккаунты. Пароль зашифрован, да и долго в ручную его расшифровывать каждый раз для каждого пользователя.
Небезопасно. Как минимум стоит переделать на post - меньше следов в логах, и вообще сложнее атаковать. Также желательно проверять какие-то дополнительные параметры, типа "секретная админская кука" или запись в сессии. А еще лучше вообще выпилить эту возможность - что за средневековье, блин, вместо нормального тестирования.
Вы же все равно не сможете 100% эмулировать окружение пользователя(ОС, браузер, железо).
Если есть сомнения, что страница слишком "жирная", то может стоит её порезать(добавить пагинацию, ajax подгрузку и тд)?
Дмитрий Савин, в общем ссылку убрали и решили модернизировать админку, где можно будет получить данные пользователей выбрав юзера из списка. И только для админов.
Средний
Средний
