-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
- Статус
Сергей123
Новичок
Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают!
-~{}~ 10.08.04 13:16:
Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают! ForJest - я с тобой, да! Пусть разум будет посрамлён,.. ДИСКОТЕКА!
;D
-~{}~ 10.08.04 13:17:
))
тред я ещё не раз буду перечитывать... и кликать по ссылкам тоже....
-~{}~ 10.08.04 13:16:
Я верю, что нужно проверять HTTP_REFERER и ставить себе Kerio Firewall, чтобы не подстрять на тех серверах, где этого не делают! ForJest - я с тобой, да! Пусть разум будет посрамлён,.. ДИСКОТЕКА!
;D-~{}~ 10.08.04 13:17:
))тред я ещё не раз буду перечитывать... и кликать по ссылкам тоже....
ForJest
- свежая кровь
ONK
Делай проверки как ты делаешь. Это правильно, хорошо и безопасно.
Но теоретизирование твоё насчёт
Я говорю - проверять нужно, это приносит пользу. Конкретную и простую пользую. И ничего не стоит. Такие как ты приходят, не разобравшись начинают талдычить - это не 100%-я гарантия, поэтому это плохо. И наслушавшись вас другие начинают талдычить тоже самое. И вообще даже после убийственных примеров эта идея не хочет умирать без боя - приходят новые и новые алологеты этой веры.
А что самое странное и необычное - вставить 6 строчек в скрипты не составляет практически никакого труда.
-----------------------------------------------------------------------------
http://phpclub.ru/talk/showthread.php?postid=366785#post366785
В общем тебе туда - там всё сказано.
-----------------------------------------------------------------------------
Скажу попроще. Если за 10 копеек я могу избавить окружающих от 80% опасности, и за 20 рублей ото всех возможных, то почему решение за 10 копеек является неприемлемым, если у меня нет 20 рублей?
-----------------------------------------------------------------------------
Дай мне чёткую информацию - в скольки процентах случаев
эта защита не сработает? Это будет интересно. В одном из
тысячи? В одном из ста? В одном из десяти? Как ты это определишь? Какие твои аргументы, что это является вредной привычкой? Лучше не будет никакой защиты, чем она будет не 100%-я?
-----------------------------------------------------------------------------
Делай проверки как ты делаешь. Это правильно, хорошо и безопасно.
Но теоретизирование твоё насчёт
как раз и является вредным. Потому что в десяти местах написано про то, что на реф нельзя полагаться, но лучше его всё-таки проверить, если он есть. А ты продолжаешь говорить о том, что его вообще не надо проверять. Я нахожу твои рассуждения не выдерживающими критики. И вообще ты пытаешься зачеркнуть всё, что было сказано в этом трэде. Умные люди поймут, что нужно проверять формы, впихивать hidden поля, ещё другие способы защиты. Только это придёт со временем/осознанием. Потому что весь написанный без учёта этого софт переделывать довольно долго. Существующие библиотеки, решения и т.п. для разработки нового - тоже.
Я говорю - проверять нужно, это приносит пользу. Конкретную и простую пользую. И ничего не стоит. Такие как ты приходят, не разобравшись начинают талдычить - это не 100%-я гарантия, поэтому это плохо. И наслушавшись вас другие начинают талдычить тоже самое. И вообще даже после убийственных примеров эта идея не хочет умирать без боя - приходят новые и новые алологеты этой веры.
А что самое странное и необычное - вставить 6 строчек в скрипты не составляет практически никакого труда.
-----------------------------------------------------------------------------
http://phpclub.ru/talk/showthread.php?postid=366785#post366785
В общем тебе туда - там всё сказано.
-----------------------------------------------------------------------------
Скажу попроще. Если за 10 копеек я могу избавить окружающих от 80% опасности, и за 20 рублей ото всех возможных, то почему решение за 10 копеек является неприемлемым, если у меня нет 20 рублей?
-----------------------------------------------------------------------------
Дай мне чёткую информацию - в скольки процентах случаев
эта защита не сработает? Это будет интересно. В одном из
тысячи? В одном из ста? В одном из десяти? Как ты это определишь? Какие твои аргументы, что это является вредной привычкой? Лучше не будет никакой защиты, чем она будет не 100%-я?
-----------------------------------------------------------------------------
ForJest
- свежая кровь
Фанат
Ну ты же умный человек. Посчитай, сколько нужно потратить времени, чтобы пропатчить этот форум через HTTP_REFERER, запихав проверку в Самый Главный Инклудник и сколько чтобы пропатчить (и заметь протестить) все формы? Если можно выкопать колодец, то почему от этого нужно отказваться в пользу того, что "водопровод гораздо лучше", если он всё равно даёт воду?
Ну ты же умный человек. Посчитай, сколько нужно потратить времени, чтобы пропатчить этот форум через HTTP_REFERER, запихав проверку в Самый Главный Инклудник и сколько чтобы пропатчить (и заметь протестить) все формы? Если можно выкопать колодец, то почему от этого нужно отказваться в пользу того, что "водопровод гораздо лучше", если он всё равно даёт воду?
ForJest
- свежая кровь
Фанат
Да. Замечательно Но почему-то ему кажется что достаточно одного предложения, чтобы опровергнуть, всё что было сказано в этом трэде, а мне нужно писать четырёхкилобайтные посты, странно да?
И какой-нибудь ZaZa придёт, не прочитав трэд и в очередной раз скажет - херня этот ваш реф, правильно ONK говорит!
Да. Замечательно
Но почему-то ему кажется что достаточно одного предложения, чтобы опровергнуть, всё что было сказано в этом трэде, а мне нужно писать четырёхкилобайтные посты, странно да? И какой-нибудь ZaZa придёт, не прочитав трэд и в очередной раз скажет - херня этот ваш реф, правильно ONK говорит!
ONK
Пассивист PHPСluba
ForJest,
Ааа,, я не внимательно посмотрел твой код (просто думал что он правильный по опредению)...
В рекомендованной тобою защите есть одна большая дыра, которая сводит защиту до нуля. Есть надёжные способы с помощью Js затавить самый распространённый браузер (IE) забыть про реферер.
Если и следоват твоим рекомендациям, то надо посылать пользователей без реферера на.... А это сам понимаеш не правильно.
Так что всем рекомендую писать правильный код, чтобы потом не клепать затычки под дыры.
Это как понимать?
Ааа,, я не внимательно посмотрел твой код (просто думал что он правильный по опредению)...
В рекомендованной тобою защите есть одна большая дыра, которая сводит защиту до нуля. Есть надёжные способы с помощью Js затавить самый распространённый браузер (IE) забыть про реферер.
Если и следоват твоим рекомендациям, то надо посылать пользователей без реферера на.... А это сам понимаеш не правильно.
Так что всем рекомендую писать правильный код, чтобы потом не клепать затычки под дыры.
ForJest
- свежая кровь
neko
А придумывается и тестится это сколько? Ты посчитай формы на этом форуме, и подумай, сколько темплейтов и обработчиков формы нужно поправить... И это нужно будет сделать в _конкретных_ местах. Потом мы с тобой можем поговорить, о том, как это легко. Или попробуй убедить администрацию форума, что это нужно сделать
А придумывается и тестится это сколько?
Ты посчитай формы на этом форуме, и подумай, сколько темплейтов и обработчиков формы нужно поправить... И это нужно будет сделать в _конкретных_ местах. Потом мы с тобой можем поговорить, о том, как это легко. Или попробуй убедить администрацию форума, что это нужно сделать neko
tеam neko
ForJest
имхо очень просто
делать хеш против каких-нибудь юзерских данных
или просто рандом при регистрации
или еще какой-нибудь обскурный метод
и просто во все формы добавить одно поле, и на всех приемщиках его проверять
не обязательно этот рандом когда-либо менять даже
и это не на много дороже по времени, чем твоя проверка
но намного действеннее
впрочем в человеко-часы я не пересчитвал, сам понимаешь
убеждать кого-то это вообще оффтопик
имхо очень просто
делать хеш против каких-нибудь юзерских данных
или просто рандом при регистрации
или еще какой-нибудь обскурный метод
и просто во все формы добавить одно поле, и на всех приемщиках его проверять
не обязательно этот рандом когда-либо менять даже
и это не на много дороже по времени, чем твоя проверка
но намного действеннее
впрочем в человеко-часы я не пересчитвал, сам понимаешь
убеждать кого-то это вообще оффтопик
- Статус