konqueror neposila REFERER
Petr Baudis
pasky na pasky.ji.cz
Čtvrtek Září 19 22:17:54 CEST 2002
Dear diary, on Wed, Sep 18, 2002 at 07:32:34PM CEST, I got a letter,
where Petr Ferschmann <petr na ferschmann.cz> told me, that...
> Dobry den,
Vam take,
> ja bych osobne nerekl, ze je to az tak skvela vlastnost. Jiste znate mnoho
> stranek, ktere pouzivaji k identifikaci cookies.
>
> Rekneme, ze je nekdo prihlasen ve vasem systemu. Ovsem serfuje na jine
> strance. Zde je odkaz treba takovyto (je vymysleny):
> http://www.email.cz/delete_all_messages.php?id=1
>
> Co zabrani, aby po kliknuti na tuto stranku doslo ke skutecnemu smazani?
> Pro osetreni techto pripadu se pouziva prave referer. V pripade, ze je zde
> fixni adresa (pak tuto stranku nenavstivite) nebo ta, ktera je prave
> pozadovana je takovato ochrana na nic a jste plne v moci utocnika. Detekci
> toho, ze mate vypnuty http referer je velmi jednoducha :-)
Pokud by mel byt kontrolovan referer, zrovna v tomto konkretnim pripade by
nemel byt povolen ani referer na tu samou stranku, kvuli uzivatelum kteri by
omylem dali reload :^). Ovsem takovyto odkaz muzete snadno podstrcit i uvnitr
jakehokoliv mailu, ktery takovemuto uzivateli poslete, a zde ochrana refererem
totalne selze - krom toho je to mnohem snadnejsi nez pracne uzivatele dostavat
na svou pripravenou stranku.. ;-)
Neboli bych takovy server povazoval za nedostatecne zabezpeceny, pokud by k
provedeni jakekoliv operace vyzadoval jako vstupni data (vyjma cookies; ty mu
zde nepomuzou) pouze jakesi id=1. Povazoval bych za samozrejme, aby se takoveto
akce mohly dit vyjma formou POST requestu - to by vyzadovalo od uzivatele
odeslat nejaky formular, coz je preci jen trochu slozitejsi a ne tak efektni
:). Pak bych povazoval za samozrejme udrzovani nejakeho session id..
Prirozene jako zakladni obrana plati, ze clovek by mel vedet, na co klika ;-)
(i kdyz to mu nemusi pomoct - staci obrazek.. POKUD zde neni ta podminka
posilani pouze pres POST).
> Takze osobne vsem doporucuji mit tuto vlastnost nastavenou tak, aby se
> chovala tak jak ma.
--
Petr "Pasky" Baudis
* ELinks maintainer * IPv6 guy (XS26 co-coordinator)
* IRCnet operator * FreeCiv AI occassional hacker
.
<Beeth> Girls are like internet domain names, the ones I like are already taken.
<honx> Well, you can still get one from a strange country :-P
.
Public PGP key && geekcode && homepage: http://pasky.ji.cz/~pasky/
Další informace o konferenci Linux