Контроль данных из формы

Статус
В этой теме нельзя размещать новые ответы.

IL78

Guest
На всякий случай открыл урл в другом окне того же браузера через адресную строку. Получил белый экран. Наверное, в Firefox по умолчанию стоит защита от автосабмитов :)

ForJest, я так и не додумался, что мешает послать те же данные CURLом - но вдобавок с тем рефером, который получает твоя страница после моего клика по ссылке. Прошу хотя бы наводящего вопроса...
 

azamat

Guest
Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!
 

ForJest

- свежая кровь
IL78
Ты не нажал на ссылку. Я на тебя обижен. Я не буду тебе объяснять.
 

IL78

Guest
ForJest, ну извини, пожалуйста. Ничего личного. В конце концов, неважно как, но твою страницу я честно загрузил. Не веришь - могу прислать ее код ;). Опять же, мы обсуждаем вопросы безопасности, разве не естественно при этом слегка подстраховаться... ;)
 

ForJest

- свежая кровь
IL78
Всё написано в трэде. Всё. Вообще всё. Так много всего, что даже рабочий пример. Сложи 2+2. И поддержи меня! :)
 

IBSN

Новичок
ForJest
на второй линк я не рискну нажимать :))) уж имя файла мне очень нравится :))
 

IBSN

Новичок
ребята предлагаю согласится с ForJest, пока он не придумал, например изменения Инфо об авторе :))))
 

ForJest

- свежая кровь
IBSN
Там тоже ничего страшного. Но ты меня уже поддержал :)
IL78
Всё упорствуешь? Ну по крайней мере я надеюсь, ты понял, что рефер нужно проверять? Или так и не понял?
 

Lucky

Новичок
Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!
 

ForJest

- свежая кровь
IBSN
:)))) Один ты меня понимаешь и любишь :) А вообще - интересная идея... ;)
 

IL78

Guest
ForJest, каюсь, не понял :confused:

Имхо, обращения в рамках одной сессии с разных IP в течении отрезка времени, недостаточного для передозвона по диалапу - вот повод насторожиться. По крайней мере, прежде чем выполнять такой запрос, вежливо переспросить юзера: "Извините, это и в самом деле Вы?" ;)

Опять же имхо, это сработает и при неправильном рефере, и при украденном правильном.
 

ForJest

- свежая кровь
IL78
Объясняю популярно. Видишь ссылки для управления форумом? Всякие настройки, письмо админу, СМ. НЕПРОЧТЕННОЕ и т.п.?
Вот - абстрагируйся от того, где они находятся на странице.
Элементу управления без разницы, где находится - в трэде или вокруг. Я просто добавляю свою функциональность и пользуюсь скриптами сервера, вот и всё. Серверу всё равно, откуда пришли данные - главное, что их прислал авторизованный пользователь - так понятно?. Данные отсылает браузер пользователя. Я только помогаю пользователю отослать те данные, которые я(не пользователь) хочу отослать. Вот и всё

-~{}~ 09.08.04 14:48:

Таким образом получается, что сервер думает, что данные прислал пользователь, а на самом деле их прислал браузер пользователя. И прислал он те данные, которые решил отослать я - простой русский хаккер Вася.
 

confguru

ExAdmin
Команда форума
У меня грузится пустая страница с жаба скриптом..
А что там должно быть?
 

IL78

Guest
ForJest, спасибо за объяснение, но тем не менее...
Серверу всё равно, откуда пришли данные - главное, что их прислал авторизованный пользователь - так понятно?.
Абсолютно. ;)
Данные отсылает браузер пользователя
...который можно имитировать серверным скриптом, не так ли? Причем необязательные заголовки, к числу которых относится HTTP_REFERER, можно подставить любые. Таким образом сервер подумает, что данные прислал браузер пользователя, а на деле их прислал сервер хакера Васи.

Или я глубоко заблуждаюсь?
 

Romantik

TeaM PHPClub
Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!

-~{}~ 09.08.04 16:28:

=)
 

DiZeWS

Новичок
Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху