Контроль данных из формы

[ZaZa]

ZaZa
Вот что ты пытаешься мне доказать?

Что проверка реферера это мёртвая технология.

Потому что если бы здесь стояла такая защита - этого длинного занимательно трэда бы не получилось, не находишь?

Нет - достаточно много людей с пустым реферером. У меня БЫЛА эта защита, только с ПУСТЫМ реферером я ПОСЫЛАЛ - на первых же клиентах посыпались жалобы на то что их не пускают - я ставил думп данных в файл на каждый пост - реферер у них был пустой... Твой бы трюк прошёл на ура. У них стояли фаерволы какие то, прокси или глюки броузера - каждому не исправишь.

хаккер не может получить желаемого в большинстве случаев

Ты думаешь хакер не знает об таких проверках? Просто может быть достаточно 1 что бы натворить такого, что результат будет ещё какой. Здесь с такой защитой - да - здесь народ образованный... Но ты вспомни - кто там сидит, на других форумах? Не каждый поймёт что там за попап и закроет его - а дело может уже сделано...

Дам тебе пример: PHP пропатчивает в определённых случаях(у клиента отрублены куки) линки сессиями, клиент на сайте sait.ru кликает на такую ссылку, которая ведёт на сайт hack.ru, реферер у нас от sait.ru с Ид сессии (допустим у нас идеальная ситуация) - hack.ru это ловит и формирует нужный пост на sait.ru с нужными реферерами и прочей лабудой и конечно чё там надо послати curlом посылает это всё... Потом редиректн на sait.ru. Да мы засветили свой ИП, но самое главное достигли - хаккнули...
Ваша защита как бы и оплашалась если к сессии проверка ИП не прикручена... От количества таких пользователей и посещаемости может зависить что получиться...

Можно пойти дальше имея СИД - считать форму и выловить даже какой то хеш, по которому субмитится информация... Но для этого надо хотябы 1 раз попасть внутрь системы...

Может теперь понятно, почему реферер мёртвый - его легче всего подделать.

А коль пошла такая пьянка - тут надо огромную FAQ писать на тему безопасности.

 

[Кром]

>клиент на сайте sait.ru кликает на такую ссылку, которая ведёт на сайт hack.ru

ZaZa, ты не в курсе.

 

[ZaZa]

Автор оригинала: ONK
ZaZa, тот что ты описал, имеет место быть не только по отношению к рефереру, но и по отношению к одноразовым идентификаторам форм. За исключение одного НО, обычно сессии привязываются к ip адресам пользователей, именно так сделанно в этом форуме.

Об этом я сказал:

Ваша защита как бы и оплашалась если к сессии проверка ИП не прикручена

Кром, не в курсе чего?

Фанат, ненадоело?

 

[ZaZa]

Бля, да ветом треде форджестов метод рассматривается как ПАНАЦЕЯ (сам форджест так говорил), как супер решение, и никакого внимания системе одноразовых идентификаторов, которая хотя бы как то это гарантирует безопастность. Рассматривается куча примеров когда он работает и даже примеры обхода и когда он не работает.
Просто это "надо проверять реферер" громко и красиво раскиданное по всему треаду и в чём тут так убеждают, дело конечно 0,0001 секунды, но бля проверять то, что заведомо будет подменено/убрано на случай реальной атаки - не стоит такого внимания и такой пены с доказательством что "надо проверять реферер". Ведь многие это признали, и всё равно продолжается раздувание этой идеи...

Хотя по... это дело... Всем прекрасно ясно что к чему - спасибо за внимание...

 

[confguru]

ZaZa - получаете предупреждение...
Прочитайте правила форума еще раз..

 

[confguru]

Тема закрыта.

Проблемы личного характера и бессмысленные споры между участниками не являются предметом обсуждения форума.
Обсуждайте их в привате.

-~{}~ 10.08.04 21:03:

ForJest - предлагаю все накопленное в этом топике
оформить в статью на деталях
Возьмешься?

P.S. На 3-й конференции будешь? Стукнись в приват..