konqueror neposila REFERER
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Září 19 00:13:18 CEST 2002
On Wed, 18 Sep 2002, Jirka Kosina wrote:
> Reseni jakekoliv bezpecnosti pres referer je security by obscurity,
> protoze se da zfalsovat jednoduseji nez cokoliv jineho.
Vtip je v tom, ze existuji pripady, kdy nepritel neni klient -- tedy ten,
kdo referer posila --, ale ten, od koho vede ten link -- a ten jen stezi
referer zfalsuje bez pomoci ze strany klienta resp. serveru (XSS).
Uvedeny priklad s mazanim mailu mozna nebyl uplne nejlepsi, ale kdyz budu
treba provozovat nejakou peknou vec na webu, tak mozna nebudu chtit, aby
mi cizi lidi delali linky nekam dovnitr, nebo dokonce nedejboze kradli
obrazky ci cele stranky (jako frejmy) a strkali si je do svych stranek (a
tvarili se, ze jsou to jejich stranky). Trivialnim testovanim refereru lze
snahy takovych plagiatoru celkem efektivne sabotovat. To, ze to neni
spolehlive na 100 % v tomto pripade vubec nevadi.
--Pavel Kankovsky aka Peak
"Welcome to the Czech Republic. Bring your own lifeboats."
Další informace o konferenci Linux