Ho due scenari e voglio sapere se ognuno è sicuro o quale rischio ci sono.
Numero uno:
Se l'utente ha il link di modifica (modifica / [md5hash]) può modificare un post. Il tasto edit (l'hash) si trova in un campo nascosto per indicare all'azione del controller quale post verrà modificato.
L'utente potrebbe modificare il valore di quel campo, ma avrebbe bisogno di altre chiavi, per cambiare altri post, vero?
Numero due:
Quando l'utente crea un post. Un cookie con il nome "post [id]" e l'md5-edit-hash come valore è impostato.
Quando viene richiesto un post, il controller controlla se l'hash di modifica in quel cookie (se esistente) è uguale a quello dei dati del post.
Non è sicuro se molte persone condividano il browser e i cookie non vengano reimpostati, non è vero? Ci sono altri problemi o soluzioni per renderlo più sicuro e migliore?
Grazie
Modifica:
Sto usando Laravel 3 - un Framwork PHP Sì, sto evitando l'autenticazione per motivi speciali;)
Potrei usare qualsiasi altro metodo di hash come SHA, se questo fosse un problema
L'hash viene generato da un timestamp + salt + postid + salt + authorname