-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Защита от ложного URL в многопользовательских системах.
- Автор темы xintrea
- Дата начала
Так теперь и я попался на этот прикол)))
http://phpclub.ru/talk/showthread.php?s=&threadid=54160&rand=144
http://phpclub.ru/talk/showthread.php?s=&threadid=54160&rand=144
xintrea
Новичок
В общем, я так понял, правила два
1. Все формы подписывать подписью (например SESSID)
2. Нигде в пространстве игры (сайта) не давать пользователям возможности размещать произвольные ссылки. Как только место с произвольной ссылкой появится, то пункт 1 уже не поможет, ибо кулхацкеры смогут выдергивать переменные сессии, и влезть в сессию пользователя.
1. Все формы подписывать подписью (например SESSID)
2. Нигде в пространстве игры (сайта) не давать пользователям возможности размещать произвольные ссылки. Как только место с произвольной ссылкой появится, то пункт 1 уже не поможет, ибо кулхацкеры смогут выдергивать переменные сессии, и влезть в сессию пользователя.
das6745
Новичок
a что если хранить в сессии адресс хоста пользователя и потом сверять сид и откуда он пришел?
...и зачем тогда каждую форму сидом подписывать? лучше уже каким-нить хэшем, причем при каждом просмотре он должен быть униквльным.
имхо сида + проверки айпишника (если паранойя мучает можно проверить на проксю но не на 100%)
...и зачем тогда каждую форму сидом подписывать? лучше уже каким-нить хэшем, причем при каждом просмотре он должен быть униквльным.
имхо сида + проверки айпишника (если паранойя мучает можно проверить на проксю но не на 100%)
das6745
Новичок
if($_SESSION['ip']) != $_SERVER['REMOTE_ADDR']) {
die ('access denied');
}
вот так вроде. для меня работает.
$_SERVER ["HTTP_X_FORWARDED_FOR"], $_SERVER ["HTTP_VIA"] - если установлены то 99% пользователь сидит за проксей, обратное неверно.
я ведь правильно понимаю, что если послать ответ форму с хоста то его можно с высокой вероятностью однозначно определить?
можно ли сформировать ответ формы так, что нельзя будет определить однозначно от кого пришло? и не поможет ли в таком случае шифрованое соединение?
у меня лично сделано так: сессии ложатся в базу вместе с айпи пользователя +немного данных, любых, далее при каждом запросе. где необходимно, сверяю сид и айпи.
можен не совсем красиво? какие еще есть решения?
die ('access denied');
}
вот так вроде. для меня работает.
это в смысле пользовательского? ну и что, на сервере данные то целыми останутся
$_SERVER ["REMOTE_ADDR"] = айпи пользователя,
$_SERVER ["HTTP_X_FORWARDED_FOR"], $_SERVER ["HTTP_VIA"] - если установлены то 99% пользователь сидит за проксей, обратное неверно.
я ведь правильно понимаю, что если послать ответ форму с хоста то его можно с высокой вероятностью однозначно определить?
можно ли сформировать ответ формы так, что нельзя будет определить однозначно от кого пришло? и не поможет ли в таком случае шифрованое соединение?
у меня лично сделано так: сессии ложатся в базу вместе с айпи пользователя +немного данных, любых, далее при каждом запросе. где необходимно, сверяю сид и айпи.
можен не совсем красиво? какие еще есть решения?