Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczeństwo strony, a GET
virtualman
post
Post #1





Grupa: Zarejestrowani
Postów: 41
Pomógł: 0
Dołączył: 17.03.2011

Ostrzeżenie: (0%)
-----

Witam,
programuje pewną stronę, która ma kilka funkcji społecznościowych. Problemy z jakim się spotkałem wygląda następująco - dla użytkowników, którzy mają wyłączone JS przycisk do funkcji takiej jak np.: lubię to ma wyglądać jakoś tak
[HTML] pobierz, plaintext 
  1. a href="strona.domena/post/like.php?id=666"
[HTML] pobierz, plaintext

Tylko nie jestem pewny czy takie rozwiązania się stosuje? Oczywiście w like.php będzie filtrowane czy jest to ID i czy dany użytkownik ma uprawnienia do wykonania tej akcji, ale co będzie jeśli jakiś cwaniak wyśle nieświadomemu użytkownikowi "ej wejdź na strona.domena/post/like.php?id=666", a ten idiota to kliknie? Wtedy dany post zostanie polubiony czy mu się to podoba czy nie. Niby dla takich funkcji jak dodawanie np.: lubie to, nie jest to jakieś szczególne zagrożenie, ale teraz weźmy sytuację gdy przycisk ma funkcję usuwania użytkownika z znajomych, a ktoś zrobić psikusa i wyśle link do tego - ofiara usunie znajomego z przyjaciół i jakie mogą być tego konsekwencje! ((IMG:style_emoticons/default/haha.gif) ) Jak patrzyłem to FB sprytnie sobie radzi - bez JS nie działa (przynajmniej wersja, którą mam zainstalowaną - jakaś testowa) (IMG:style_emoticons/default/biggrin.gif)
Myślę, że rozumiecie o co mi chodzi, macie jakieś pomysły na rozwiązanie problemu?
Pozdrawiam - Maciek!
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004
Cytat
Hm, a co jeśli użytkownik otworzy stronę jedną i potem w nowym oknie drugą, a następnie wykona akcję z pierwszej(mówimy o sposobie z sesjami)? Wtedy "pozycja" nie będzie określona poprawnie, bo będzie nadpisana przez otworzenie drugiej strony...
Zgadza sie (IMG:style_emoticons/default/smile.gif) Dlatego najbardziej poprawny/bezpieczny jest sposob 1 (IMG:style_emoticons/default/smile.gif)

Zas co do bledu sesji co napisales, to mozna w sesji pamierac historie wywolan i sprawdzac czy żądana strona znajduje sie w historii a nie bezposrednio w ostatniej
Go to the top of the page
+Quote Post

Posty w temacie
- virtualman   Bezpieczeństwo strony, a GET   20.10.2013, 15:07:24
- - nospor   Rozwiazan jest kilka: 1) Jak ktos klika link: stro...   20.10.2013, 15:25:18
- - virtualman   Hm, a co jeśli użytkownik otworzy stronę jedną i p...   20.10.2013, 16:14:54
- - PrinceOfPersia   jak chcesz, żeby działało bez JS, to możesz zrobić...   20.10.2013, 16:30:30
- - nospor   CytatHm, a co jeśli użytkownik otworzy stronę jedn...   20.10.2013, 16:56:07
- - virtualman   Hm, a są jakieś zastrzeżenia do sposobu PrinceOfPe...   20.10.2013, 17:30:39
- - nospor   CytatHm, a są jakieś zastrzeżenia do sposobu Princ...   20.10.2013, 17:39:48
- - wujek2009   [HTML] pobierz, plaintext <form action="st...   20.10.2013, 17:41:04
- - Crozin   Wystarczy tutaj najzwyklejsza ochrona przed CSRF w...   20.10.2013, 18:34:12

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 17.10.2025 - 23:06
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn