Безопасность скриптов

[Popoff]

http://own-the.net/news_Hide-referer-(tested-on-IE-and-FF)_4.html

 

[dimagolov]

про рефереры - тут надо смотреть про что мы статью пишем. если "как правильно делать с 0" то да, на рефереры можно забить и делать все хидден полями в формах. но если речь идет "как заткнуть дырку с подделкай формы злоумышленником на стороне (в броузере) авторизированного юзера не переделывая все формы", то реферер позволит в реальной жизни помочь 90-99% пользователям и выявить атаку.

-~{}~ 29.04.08 20:57:

2 Popoff, блин, а от такой дырки хрен поможет реферер

значит надо принимать, что хош не хош, а защищаться от такого надо хидден полями в форме и про реферер написать "так как с одной стороны атакующий легко уберет реферер, а с другой стороны множество легальных пользователей могут его не иметь, то строить какого рода защиту на реферере НЕЛЬЗЯ, надо делать хидден поля".

 

[Фанат]

Popoff, у тебя какие-то вопросы ещё остались? Если да, то не мог бы ты писать конкретнее? Ссылку на тему Форжеста "я верю, что надо проверять реферер" могу дать, если надо.

Я считаю, что мы защищаемся от сфабрикованной формы.
Поскольку данная атака направлена именно на авторизованного юзера, то о людях с улицы говорить вообще не имеет смысла.
А авторизованных, вроде, должна прикрывать. Если мы СИД не светим...
kruglov, в этом смысле случайная строка кажется мне надежнее. Хотя, конечно, все это очень расплывчато...

fixxxer, ты ж должен был видеть предложение Круглова. Речь идет о том, что при веб-сервер различает файлы по расширениям. То есть, на джипег у него не стоит обработка модулем ПХП.
А сигнатуру, как мы знаем, и подделать можно.
Думаю, надо написать как добавление к сигнатуре.

 

[fixxxer]

да-да. вообще, веб сервер различает файлы так, как ты его настроишь.
для каталога /upload/ включать обработку скриптов никто не заставляет.

 

[Фанат]

fixxxer
ну, это уже экстремизм, я считаю.
в общем, оставлю. можно настройкой веб-сервера, но дополнительная проверка расширения не повредит

 

[fixxxer]

да я вообще считаю что файлы надо переназывать по своему.
бо хитрый юзер ваще может в имя запихнуть что нить типа ../.., всякие спецсимволы итп.

 

[kruglov]

для каталога /upload/ включать обработку скриптов никто не заставляет

Вообще, обычно ее выключать нужно, а не включать.

Как думаете, среднестатистический потенциальный читатель статьи сможет отключить обработчики всего того, что у него на сервере поддерживается, ничего не упустив?

-~{}~ 30.04.08 12:30:

Насчет переименования - я бы "картинка.php" вообще грохал, а не переименовывал в "картинка.jpg", посмотрев mime-type. Нафиг.

 

[fixxxer]

ну для картинок вообще есть getimagesize не прокатило - нафиг

 

[rotoZOOM]

fixxxer если уж на то пошло, то попробуй применить getimagesize к
fon.php

GIF89adЁ...тут небольшая часть заголовка любого GIF
<?
	phpinfo();
?>

getimagesize выдаст ее как картинку. А php тоже обработает на ура

 

[Breeze]

rotoZOOM
расширение .php -- нафиг

 

[kruglov]

Breeze
А расширение .php3? а .phtml? а .shtml? А какие расширения я упустил?

 

[Breeze]

kruglov
все, какие на конкретном сервере привязаны к php(в частности) в любом его виде.

ну и в .htaccess или конфиг сайта добавить Options -ExecCGI и php_value engine off для upload-директории в случае с Apache.

 

[rotoZOOM]

Breeze Тока не .php нафик, а наоброт - принимаем только конечное множество расширений )

 

[Breeze]

rotoZOOM

что в общем-то то же самое, только другими словами )

-~{}~ 30.04.08 15:01:

я ж не говорил, что надо делать запрещающий список

 

[kruglov]

я ж не говорил, что надо делать запрещающий список

Вообще, вас можно было скорее понять именно так...

 

[Breeze]

можно было, да.

-~{}~ 30.04.08 15:12:

хотя изначально это касалось поста про .php и getimagesize.
одно в другое пихать никчему, исходя из первого.

 

[fixxxer]

так расширение можно брать из того же getimagesize. и потом уже пофик если оно битое...

 

[kruglov]

А почему, собсно, мы зациклились на getimagesize? На сайты не только картинки заливают.

 

[ys]

Ну, вообще, аплоад фалов - это данные от людей с улицы.
А им, следуя той же статейки, не доваеряем, даже имени файла.

 

[Popoff]

*****
Нет, вопросов не осталось...
Считаю, что проблему в твоей статье нужно осветить обязательно.

-~{}~ 30.04.08 22:38:

Там только существует способ отправить джаваскриптом форму так, чтобы реферер был пустой. Поэтому, сам по себе реферер - это фигня. Другие способы нужны...