konqueror neposila REFERER
Jirka Kosina
jikos na jikos.cz
Středa Září 18 23:45:33 CEST 2002
On Wed, 18 Sep 2002, Petr Ferschmann wrote:
> Rekneme, ze je nekdo prihlasen ve vasem systemu. Ovsem serfuje na jine
> strance. Zde je odkaz treba takovyto (je vymysleny):
> http://www.email.cz/delete_all_messages.php?id=1
> Co zabrani, aby po kliknuti na tuto stranku doslo ke skutecnemu smazani? Pro
Typicky je do URL zamontovany navic jeste nejaky nahodny a dostatecne
dlouhy retezec, ktery se generuje pri kazdem prihlaseni novy, a nikdo ho
nema jak odvodit (krome toho kdyz prijde s tuzkou a papirem k Vasemu
monitoru a opise si ho, nebo kdyz samozrejme chyti na siti ty spravne
packety), takze nema jak vymyslet to spravne URL, kterym Vam vsechny
zpravy smaze. Ovsem kdyz mu predtim poslete referrer, ve kterem je ten
nahodny retezec uvedeny, tak mu to dost usnadnite.
Reseni jakekoliv bezpecnosti pres referer je security by obscurity,
protoze se da zfalsovat jednoduseji nez cokoliv jineho.
> Takze osobne vsem doporucuji mit tuto vlastnost nastavenou tak, aby se
> chovala tak jak ma.
Ano, tak to je typicky v browserech nastavene. A neni to tak davno, co
bylo mozne se takovym zpusobem dostat leckomu na lecjakem freemailu do
schranky, kdyz byl dostatecne tupy (cti neinformovany) a klik na odkaz,
ktery vedl nekam na Vasi stranku a ktery jste mu v tom e-mailu poslal.
Nebo jeste lepe nejaky javasckriptik, ktery ho na tu stranku rovnou
presmeroval, aniz by musel na neco klikat. ;)
--
JiKos.
Další informace o konferenci Linux