Forum PHP.pl

a niby w jaki sposob chcesz zablokowac uzytkownikowi jego pasek w przegladarce? jak ci sie uda to zablokuj mu jeszcze mozliwosc wyłączenia komputera (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

A juz na powaznie: nie, nie mozna. Nawet jakby mozna bylo, to pamietaj ze do twojej stronki mozna wejść nie tylko z przegladarki...

Po to stosuje się sprawdzanie danych od użytkownika, aby ten poziom osiągnąć.

Sprawdzaj lepiej dane z formularzy, zmień miejsce przechowywania sesji, a nie tracisz czas na pierdoły. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

chyba się nie rozumiemy.... nie mam zamiaru nikomu blokować paska url tylko chciałbym osiągną coś ala
if(!$_SERVER['HTTP_REFERER']) die() ale czego nie można w prosty sposób przeskoczyć....

chodzi o to żeby użytkownik ręcznie nie podmieniał mi zmiennych przekazywanych przez $_GET

zapewniam was, że sprawdzam i filtruje wszystko co użytkownik wpisze ale chciałbym to mieć dodatkowo

Tak nie zrobisz. Nie da się, rozumiesz?

Jedyne wyjście - skoro już tak bardzo jesteś przewrażliwiony - to koduj adresy do postaci:

i zapisuj tabelę linków odpowiadających tokenowi w sesji.

hehe no i o takie rozwiązanie mi chodziło i chyba coś takiego zastosuje :-)

spr referera nic Ci nie da

1. mozna go latwo zmanipulowac
2. niektore firewalle usuwaja referera z naglowkow
3. wchodzac na Twoja strone poprzez bezposrednie wpisanie jej adresu w pasku przegladarki skutkuje tym ze referer bedzie pusty tak wiec dostep do Twojej strony zostanie zablokowany

a nie uważasz, że to tylko dodatkowe obciążanie bazy danych ?

jak już przefiltrowałeś to cię buja co jest w get, post, session, czy cookie (:-(IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

W sesji? (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) na 90% ma w plikach, a w większości przypadków i tak w sesjach trzymane są tylko podstawowe informacje typu czas, SID, itp.

Poza tym, podobne rozwiązanie widziałem w panelu pewnego hostingu.

To chodzi o to, że mam pewne funkcje oparte na refererach i sprawdzające skąd ktoś gdzieś ląduje, i jak ktoś wejdzie na stronkę index.php, gdzie oczywiście nie ma kontroli referera bo to juz byłby absurd, to jak np. z tamtąd ląduje na stronce kasujcostam.php, to sprawdzam, czy ten ktoś tam wylądował z odpowiedniej podstrony a nie przez kombinacje, no i wywala go także jak coś próbuje zmienić w zmiennych z $_GET.

kombinujesz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) jak chcesz sie zabezpieczyc przed wywolywaniem url kasujacych dane z niewiadomego miejsca to poczytaj o CSRF np na http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesji i generalnie o tokenach, doklejasz sobie do url kasujacego losowe znaki przez co otrzymujesz np usun_podstrone.php?id=4&token=fsd65fsd753, a następnie w usun_podstrone spr czy token z url == token z sesji (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) oczywiscie token jest zmieniany co odswiezenie skryptu

Dzieki :-) Chyba będę musiał poczytać :-)



Bawiłem się w takie tokeny w zabezpieczeniach typu captcha do komentarzy na serwisach. Hmm... zastanawiam się bo mam pewien serwis który muszę dobrze zabezpieczyć, czy zrobić w nim taką tokenową wędrówkę po całym serwisie.... Uważasz, że zabezpieczałoby to skutecznie przed 'lądowaniem na podstronach z niewłaściwego miejsca' ? czyli to o co mi wcześniej chodziło?

tak zalozmy ze wchodzisz na strone profil.php na ktorej jest link do strony usun_konto.php, parametrem tego linku jest token, teraz po wejsciu na strone usun_konto spr czy token z url jest taki sam jak w sesji, jesli tak to znaczy ze user kliknal na odpowiedni link na odpowiedniej stronie

I oczywiście bełdzio dasz sobie czapkę z avatara zerwać, że żadna wtyczka przyśpieszająca przeglądanie stron nie postanowi odczytać z wyprzedzeniem strony usun.php?token=najlepszy_z_najlepszych i nie spowoduje usunięcia danych ?

Pozdr.
Łukasz

generalnie to czapki nie oddam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) a co do wtyczek sie nie wypowiem bo nie do konca wiem o jakie cudenka chodzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Był temat na forum kiedy o tym rozmawialiśmy - nie wiem czy to przypadkiem nie był ten temat.

To mogło by popsuć wiele rzeczy nie tylko przy korzystaniu z tokenów. Mam nadzieje, że żadna przeglądarka/wtyczka nie robi ładuje w tle innych linków niż oznaczone przez `rel="prefetch"`.

Nie w tym celu powstało zabezpieczenie przez CSRF - chodzi o to, aby np. nieświadoma osoba nie mogła kliknąć na złośliwie wysłany link typu plik.php?akcja=skasujProfil&confirm=1.

W sumie jak tak teraz pomyslalem ze maja racje nie wiedzialem ze tak sie mozna bronic przed CSRF.

Wyobrazcie sobie sytuacje jest sobie forum z takim bugiem i jest jakis temat powiedzymy ze forum ktore uzywaja to jakis open-source ktos podaje np link do usuwanie news'a z odpowiednim id ktorys z adminow klika i po news'ie ale gdy token ktory podal napastnik z linku jest inny do nicy z tego (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) w sumie ciekawy jest i atak jak i obrona (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Czy mozecie powiedziec jakies inne sytuacje?

A do wikipedii, to Waść zaglądał...? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Zagladac zagldalem ale nie zawsze w wikipedi jest duzo napisane w sumie jest napisane to sam co ja napisalem czytalem inne linki i atak polega tylko na tym co opisalem przynajmniej z tego co ja wywnioskowalem.

Mowicie zeby dodac mozliwosc takeigo tokena do wszystkich waznych akcji, bo w sumie atak jest latwiejszy do przeprowadzenia niz XSS z kradzieza cookie.