Контроль данных из формы

[IL78]

На всякий случай открыл урл в другом окне того же браузера через адресную строку. Получил белый экран. Наверное, в Firefox по умолчанию стоит защита от автосабмитов

ForJest, я так и не додумался, что мешает послать те же данные CURLом - но вдобавок с тем рефером, который получает твоя страница после моего клика по ссылке. Прошу хотя бы наводящего вопроса...

 

[azamat]

Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!

 

[ForJest]

IL78
Ты не нажал на ссылку. Я на тебя обижен. Я не буду тебе объяснять.

 

[IL78]

ForJest, ну извини, пожалуйста. Ничего личного. В конце концов, неважно как, но твою страницу я честно загрузил. Не веришь - могу прислать ее код . Опять же, мы обсуждаем вопросы безопасности, разве не естественно при этом слегка подстраховаться...

 

[ForJest]

IL78
Всё написано в трэде. Всё. Вообще всё. Так много всего, что даже рабочий пример. Сложи 2+2. И поддержи меня!

 

[IBSN]

ForJest
на второй линк я не рискну нажимать )) уж имя файла мне очень нравится )

 

[IL78]

кажется, до меня начинает доходить юмор...

да! Пусть разум будет посрамлён,.. ДИСКОТЕКА!

 

[IBSN]

ребята предлагаю согласится с ForJest, пока он не придумал, например изменения Инфо об авторе )))

 

[ForJest]

IBSN
Там тоже ничего страшного. Но ты меня уже поддержал
IL78
Всё упорствуешь? Ну по крайней мере я надеюсь, ты понял, что рефер нужно проверять? Или так и не понял?

 

[yaniks]

да подстава .....

 

[Lucky]

Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!

 

[ForJest]

IBSN
))) Один ты меня понимаешь и любишь А вообще - интересная идея...

 

[IL78]

ForJest, каюсь, не понял

Имхо, обращения в рамках одной сессии с разных IP в течении отрезка времени, недостаточного для передозвона по диалапу - вот повод насторожиться. По крайней мере, прежде чем выполнять такой запрос, вежливо переспросить юзера: "Извините, это и в самом деле Вы?"

Опять же имхо, это сработает и при неправильном рефере, и при украденном правильном.

 

[ForJest]

IL78
Объясняю популярно. Видишь ссылки для управления форумом? Всякие настройки, письмо админу, СМ. НЕПРОЧТЕННОЕ и т.п.?
Вот - абстрагируйся от того, где они находятся на странице.
Элементу управления без разницы, где находится - в трэде или вокруг. Я просто добавляю свою функциональность и пользуюсь скриптами сервера, вот и всё. Серверу всё равно, откуда пришли данные - главное, что их прислал авторизованный пользователь - так понятно?. Данные отсылает браузер пользователя. Я только помогаю пользователю отослать те данные, которые я(не пользователь) хочу отослать. Вот и всё

-~{}~ 09.08.04 14:48:

Таким образом получается, что сервер думает, что данные прислал пользователь, а на самом деле их прислал браузер пользователя. И прислал он те данные, которые решил отослать я - простой русский хаккер Вася.

 

[confguru]

У меня грузится пустая страница с жаба скриптом..
А что там должно быть?

 

[IntenT]

Вах

 

[IL78]

ForJest, спасибо за объяснение, но тем не менее...

Серверу всё равно, откуда пришли данные - главное, что их прислал авторизованный пользователь - так понятно?.

Абсолютно.

Данные отсылает браузер пользователя

...который можно имитировать серверным скриптом, не так ли? Причем необязательные заголовки, к числу которых относится HTTP_REFERER, можно подставить любые. Таким образом сервер подумает, что данные прислал браузер пользователя, а на деле их прислал сервер хакера Васи.

Или я глубоко заблуждаюсь?

 

[Romantik]

Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!

-~{}~ 09.08.04 16:28:

=)

 

[Yukko]

 

[DiZeWS]

Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!