konqueror neposila REFERER

Petr Baudis pasky na pasky.ji.cz
Čtvrtek Září 19 22:17:54 CEST 2002 

Dear diary, on Wed, Sep 18, 2002 at 07:32:34PM CEST, I got a letter,
where Petr Ferschmann <petr na ferschmann.cz> told me, that...
> Dobry den,

Vam take,

> ja bych osobne nerekl, ze je to az tak skvela vlastnost. Jiste znate mnoho 
> stranek, ktere pouzivaji k identifikaci cookies. 
> 
> Rekneme, ze je nekdo prihlasen ve vasem systemu. Ovsem serfuje na jine 
> strance.  Zde je odkaz treba takovyto (je vymysleny):
> http://www.email.cz/delete_all_messages.php?id=1
> 
> Co zabrani, aby po kliknuti na  tuto stranku doslo ke skutecnemu smazani?
> Pro osetreni techto pripadu se pouziva prave referer. V pripade, ze je zde
> fixni adresa (pak tuto stranku nenavstivite) nebo ta, ktera je prave
> pozadovana  je takovato ochrana na nic a jste plne v moci utocnika. Detekci
> toho, ze mate vypnuty http referer je velmi jednoducha :-)

Pokud by mel byt kontrolovan referer, zrovna v tomto konkretnim pripade by
nemel byt povolen ani referer na tu samou stranku, kvuli uzivatelum kteri by
omylem dali reload :^). Ovsem takovyto odkaz muzete snadno podstrcit i uvnitr
jakehokoliv mailu, ktery takovemuto uzivateli poslete, a zde ochrana refererem
totalne selze - krom toho je to mnohem snadnejsi nez pracne uzivatele dostavat
na svou pripravenou stranku.. ;-)

Neboli bych takovy server povazoval za nedostatecne zabezpeceny, pokud by k
provedeni jakekoliv operace vyzadoval jako vstupni data (vyjma cookies; ty mu
zde nepomuzou) pouze jakesi id=1. Povazoval bych za samozrejme, aby se takoveto
akce mohly dit vyjma formou POST requestu - to by vyzadovalo od uzivatele
odeslat nejaky formular, coz je preci jen trochu slozitejsi a ne tak efektni
:). Pak bych povazoval za samozrejme udrzovani nejakeho session id..

Prirozene jako zakladni obrana plati, ze clovek by mel vedet, na co klika ;-)
(i kdyz to mu nemusi pomoct - staci obrazek.. POKUD zde neni ta podminka
posilani pouze pres POST).

> Takze osobne vsem doporucuji mit tuto vlastnost nastavenou tak, aby se
> chovala tak jak ma.

-- 
 
				Petr "Pasky" Baudis
 
* ELinks maintainer                * IPv6 guy (XS26 co-coordinator)
* IRCnet operator                  * FreeCiv AI occassional hacker
.
<Beeth> Girls are like internet domain names, the ones I like are already taken.
<honx> Well, you can still get one from a strange country :-P
.
Public PGP key && geekcode && homepage: http://pasky.ji.cz/~pasky/

Další informace o konferenci Linux