Цитата:
Сообщение от
Gustav
В БОСС-Кадровике замечена одна не очень приятная дырка: при запуске в открытую используется логин/пароль в адресной строке веб-браузера, естественно, с сохранением в хистори.
Так что приглашаешь админа что-нибудь настроить, он уходит, ты - с админским логином/паролем. Заходи, поднимай себе зарплату
Когда я писал свой первый скрипт на php, который предполагал авторизацию и последующую работу после ввода логина/пароля, я точно так же вышел из ситуации: как протащить инфу о юзере через все внутренние страницы
Про сессии я тогда не знал.Так вот, к чему это я: если "БОСС" действительно в URL хранит пароль в чистом виде, то даже не знаю что и сказать...Даже если они совершенно недавно начали осваивать веб-интерфейс, такие ляпы непростительны в любом раскладе!!!
Gustav, просто интересно, а Вы самостоятельно пробовали залогиниться в системе с помощью полученных в чистом виде логина и пароля? И если да, то как именно?