 CSRF, bezpieczenstwo |
| CSRF, bezpieczenstwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 8.03.2007 Ostrzeżenie: (0%) 
 |
Jak wiemy tagi bbcode etc. np [img] stwarzaja nie male zagrozenie. Jako img moge podstawic plik php i robic co mi sie zywnie podoba (podkrasc cookies, sessje etc.). Chcialbym sie Was polecic jak zapobiec tego typu zagrozeniom? Uzytkownicy maja avatary, wyswietlane na forach, swoich profilach itd. potencjalnie kazdy moglby byc niebezpieczny. Jak wiec zapobiec, czy zablokowac tego typu zagrozenie? Z pewnoscia sprawdzanie czy dany plik graficzny pochodzi z tych bardziej znanych, zaufanych serwisow (np. imagshack itd.) jest jakims rozwiazaniem, ale niewatpliwie uciazliwe dla uzytkownikow, ktorzy nie rzadko wola hostowac pliki u siebie.
Z gory dziekuje za pomoc. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 627 Pomógł: 33 Dołączył: 1.05.2005 Skąd: Katowice Ostrzeżenie: (0%)
|
ja mam sprawdzanie czy to jest obrazek z timeoutem na 2s. Niestety jest to kiepskie rozwiązanie, tymczasówka, która kiedyś przydałoby się zmienic na coś konkretnego więc przypne sie do tematu (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
ps. kiedyś testowałem chyba z 12 ogólnodostępnych klas do bbcode i wszystkie ((IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) ) jak leci nie sprawdzały [img] :/ |
|
|
|
aren CSRF 6.08.2008, 16:36:55 
aren No wiec wlasnie, wiec jak narazie chyba pozostaje ... 6.08.2008, 17:24:05 kubal nie wiem dokładnie o co wam chodzi (to przez przem... 6.08.2008, 19:28:51 normanos o ile jpg jest jpgiem 6.08.2008, 19:43:12 SirZooro Wg mnie przed CSRF nie da się zabezpieczyć inaczej... 6.08.2008, 20:01:55 normanos @SirZooro: to żadne wyjście z sytuacji, równie dob... 6.08.2008, 20:30:53 radex_p Wikipedia tyle tylko mówi na ten temat:
Istnieje ... 6.08.2008, 20:37:19 normanos @radex_p: ale to akurat nie na temat 6.08.2008, 20:40:09 
Kicok Cytat(normanos @ 6.08.2008, 21:40:09 ... 6.08.2008, 20:52:31 bełdzio najlepiej uploadować pliki na swoj serwer 6.08.2008, 22:07:16 SirZooro @bełdzio: teoretycznie tak, ale można sobie niechc... 6.08.2008, 23:03:21 bełdzio ale można się przed tym zabezpieczyc najblizsza n... 7.08.2008, 08:20:47 aren Widzę Panowie, że sporo odpowiedzi. Tak jak niektó... 7.08.2008, 08:23:02 SirZooro @bełdzio: zatem czekam - ciekaw jestem co napiszes... 7.08.2008, 09:19:28 rzymek01 tak jak pisze bełdzio, wysyłanie plików na swój se... 7.08.2008, 10:26:57 Sh4dow Takie działania można skutecznie utrudniać. Ale ch... 7.08.2008, 10:42:17 zimi Cytat@bełdzio: zatem czekam - ciekaw jestem c... 7.08.2008, 15:19:34 SirZooro @zimi: no to źle Ci się wydaje - kiedyś udało mi ... 7.08.2008, 16:14:23 zimi nie rozumiem jaką to niesie ze sobą ideę...
ja na ... 7.08.2008, 17:34:49 SirZooro Żeby to wykorzystać trzeba:
1. Wysłać taki sprepar... 7.08.2008, 17:57:36 zimi o ho ho ho...
i co jeszcze byś chciał hasło bazy ... 7.08.2008, 18:10:57 SirZooro Zawsze można poszukać
Mi chodziło tutaj o pokaza... 7.08.2008, 18:21:45 .radex Mogę się mylić, bo nie jestem specem od zabezpiecz... 7.08.2008, 21:31:52 WebCM Szukam uniwersalnego sposobu ochrony przed CSRF. J... 18.11.2008, 14:30:46  |
|
Aktualny czas: 17.10.2025 - 15:44 |
