Контроль данных из формы

Статус
В этой теме нельзя размещать новые ответы.

ZaZa

Guest
ZaZa
Вот что ты пытаешься мне доказать?
Что проверка реферера это мёртвая технология.
Потому что если бы здесь стояла такая защита - этого длинного занимательно трэда бы не получилось, не находишь?
Нет - достаточно много людей с пустым реферером. У меня БЫЛА эта защита, только с ПУСТЫМ реферером я ПОСЫЛАЛ - на первых же клиентах посыпались жалобы на то что их не пускают - я ставил думп данных в файл на каждый пост - реферер у них был пустой... Твой бы трюк прошёл на ура. У них стояли фаерволы какие то, прокси или глюки броузера - каждому не исправишь.
хаккер не может получить желаемого в большинстве случаев
Ты думаешь хакер не знает об таких проверках? Просто может быть достаточно 1 что бы натворить такого, что результат будет ещё какой. Здесь с такой защитой - да - здесь народ образованный... Но ты вспомни - кто там сидит, на других форумах? Не каждый поймёт что там за попап и закроет его - а дело может уже сделано...

Дам тебе пример: PHP пропатчивает в определённых случаях(у клиента отрублены куки) линки сессиями, клиент на сайте sait.ru кликает на такую ссылку, которая ведёт на сайт hack.ru, реферер у нас от sait.ru с Ид сессии (допустим у нас идеальная ситуация) - hack.ru это ловит и формирует нужный пост на sait.ru с нужными реферерами и прочей лабудой и конечно чё там надо послати curlом посылает это всё... Потом редиректн на sait.ru. Да мы засветили свой ИП, но самое главное достигли - хаккнули...
Ваша защита как бы и оплашалась если к сессии проверка ИП не прикручена... От количества таких пользователей и посещаемости может зависить что получиться...

Можно пойти дальше имея СИД - считать форму и выловить даже какой то хеш, по которому субмитится информация... Но для этого надо хотябы 1 раз попасть внутрь системы...

Может теперь понятно, почему реферер мёртвый - его легче всего подделать.

А коль пошла такая пьянка - тут надо огромную FAQ писать на тему безопасности.
 

Кром

Новичок
>клиент на сайте sait.ru кликает на такую ссылку, которая ведёт на сайт hack.ru

ZaZa, ты не в курсе.
 

ZaZa

Guest
Автор оригинала: ONK
ZaZa, тот что ты описал, имеет место быть не только по отношению к рефереру, но и по отношению к одноразовым идентификаторам форм. За исключение одного НО, обычно сессии привязываются к ip адресам пользователей, именно так сделанно в этом форуме.
Об этом я сказал:
Ваша защита как бы и оплашалась если к сессии проверка ИП не прикручена
Кром, не в курсе чего?

Фанат, ненадоело?
 

ZaZa

Guest
Бля, да ветом треде форджестов метод рассматривается как ПАНАЦЕЯ (сам форджест так говорил), как супер решение, и никакого внимания системе одноразовых идентификаторов, которая хотя бы как то это гарантирует безопастность. Рассматривается куча примеров когда он работает и даже примеры обхода и когда он не работает.
Просто это "надо проверять реферер" громко и красиво раскиданное по всему треаду и в чём тут так убеждают, дело конечно 0,0001 секунды, но бля проверять то, что заведомо будет подменено/убрано на случай реальной атаки - не стоит такого внимания и такой пены с доказательством что "надо проверять реферер". Ведь многие это признали, и всё равно продолжается раздувание этой идеи...

Хотя по... это дело... Всем прекрасно ясно что к чему - спасибо за внимание...
 

confguru

ExAdmin
Команда форума
ZaZa - получаете предупреждение...
Прочитайте правила форума еще раз..
 

confguru

ExAdmin
Команда форума
Тема закрыта.

Проблемы личного характера и бессмысленные споры между участниками не являются предметом обсуждения форума.
Обсуждайте их в привате.

-~{}~ 10.08.04 21:03:

ForJest - предлагаю все накопленное в этом топике
оформить в статью на деталях
Возьмешься?

P.S. На 3-й конференции будешь? Стукнись в приват..
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху