Задать вопрос
  • Зачем использовать сессии, если есть куки и https?

    DevMan
    @DevMan
    вы считаете нормальным гонять постоянно данные при каждом запросе? а именно так и происходит с куками.

    ну и москвакуки - не резиновые, имеют ограничения по размеру.
    Ответ написан
    Комментировать
  • Как реализовать приглашение пользователя посредством GET-запроса?

    Taraflex
    @Taraflex
    Ищу работу. Контакты в профиле.
    Длинные хеши помогут от перебора со стороны, но также не стоит забывать, про то что в 2019 году практически невозможно передать ссылку безопасно, даже если невозможно её подобрать.
    Почта, мессенджеры, соц сети - какой источник не возьми, везде идет анализ текста сообщений на наличие ссылок, а зачастую еще и создание превьюшек для них.
    Как вариант решения проблемы - отправка кода на сервер через js код, который было бы трудно эмулировать на сервере. Подобным образом работаю некоторые сервисы защиты от DDOS.
    То есть, после того как пользователь перешел по ссылке, не сразу авторизовываем его, а просим выполнить какое-нибудь простенькое действие (в стиле нажми на кнопку), которое уже запустит редирект на настоящий url авторизации.
    Конечный Url естественно не перессылаем открытым текстом - можно вычислять его на основе первого хеша или спрятать в загружаемых ресурсах (в пикселях фоновой картинки например или в шрифтах).

    SSL никак вам не поможет - оно про другое.
    Ответ написан
    Комментировать