 CSRF, bezpieczenstwo |
| CSRF, bezpieczenstwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 8.03.2007 Ostrzeżenie: (0%) 
 |
Jak wiemy tagi bbcode etc. np [img] stwarzaja nie male zagrozenie. Jako img moge podstawic plik php i robic co mi sie zywnie podoba (podkrasc cookies, sessje etc.). Chcialbym sie Was polecic jak zapobiec tego typu zagrozeniom? Uzytkownicy maja avatary, wyswietlane na forach, swoich profilach itd. potencjalnie kazdy moglby byc niebezpieczny. Jak wiec zapobiec, czy zablokowac tego typu zagrozenie? Z pewnoscia sprawdzanie czy dany plik graficzny pochodzi z tych bardziej znanych, zaufanych serwisow (np. imagshack itd.) jest jakims rozwiazaniem, ale niewatpliwie uciazliwe dla uzytkownikow, ktorzy nie rzadko wola hostowac pliki u siebie.
Z gory dziekuje za pomoc. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 627 Pomógł: 33 Dołączył: 1.05.2005 Skąd: Katowice Ostrzeżenie: (0%)
|
@radex_p: ale to akurat nie na temat (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 1 033 Pomógł: 125 Dołączył: 17.09.2005 Skąd: Żywiec Ostrzeżenie: (0%)
|
Cytat(normanos @ 6.08.2008, 21:40:09 )  @radex_p: ale to akurat nie na temat (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) No ale właśnie takie dodatkowe zabezpieczenia przy wykonywaniu "istotnych akcji" (edytowanie, usuwanie czegoś) przez sprawdzanie referera czy też jakieś losowe ciągi w adresie to jedyny rozsądny sposób. Sprawdzanie zdjęć nic nie da. Można oczywiście utworzyć białą listę domen, z których można wstawiać zdjęcie, a nawet całkowicie zablokować wstawianie zdjęć z zewnątrz. Jest to skuteczna metoda, ale chyba zbyt irytująca, by mogła być stosowana. Ten post edytował Kicok 6.08.2008, 20:53:08 |
|
|
|
aren CSRF 6.08.2008, 16:36:55 
normanos ja mam sprawdzanie czy to jest obrazek z timeoutem... 6.08.2008, 16:58:57 aren No wiec wlasnie, wiec jak narazie chyba pozostaje ... 6.08.2008, 17:24:05 kubal nie wiem dokładnie o co wam chodzi (to przez przem... 6.08.2008, 19:28:51 normanos o ile jpg jest jpgiem 6.08.2008, 19:43:12 SirZooro Wg mnie przed CSRF nie da się zabezpieczyć inaczej... 6.08.2008, 20:01:55 normanos @SirZooro: to żadne wyjście z sytuacji, równie dob... 6.08.2008, 20:30:53 radex_p Wikipedia tyle tylko mówi na ten temat:
Istnieje ... 6.08.2008, 20:37:19 bełdzio najlepiej uploadować pliki na swoj serwer 6.08.2008, 22:07:16 SirZooro @bełdzio: teoretycznie tak, ale można sobie niechc... 6.08.2008, 23:03:21 bełdzio ale można się przed tym zabezpieczyc najblizsza n... 7.08.2008, 08:20:47 aren Widzę Panowie, że sporo odpowiedzi. Tak jak niektó... 7.08.2008, 08:23:02 SirZooro @bełdzio: zatem czekam - ciekaw jestem co napiszes... 7.08.2008, 09:19:28 rzymek01 tak jak pisze bełdzio, wysyłanie plików na swój se... 7.08.2008, 10:26:57 Sh4dow Takie działania można skutecznie utrudniać. Ale ch... 7.08.2008, 10:42:17 zimi Cytat@bełdzio: zatem czekam - ciekaw jestem c... 7.08.2008, 15:19:34 SirZooro @zimi: no to źle Ci się wydaje - kiedyś udało mi ... 7.08.2008, 16:14:23 zimi nie rozumiem jaką to niesie ze sobą ideę...
ja na ... 7.08.2008, 17:34:49 SirZooro Żeby to wykorzystać trzeba:
1. Wysłać taki sprepar... 7.08.2008, 17:57:36 zimi o ho ho ho...
i co jeszcze byś chciał hasło bazy ... 7.08.2008, 18:10:57 SirZooro Zawsze można poszukać
Mi chodziło tutaj o pokaza... 7.08.2008, 18:21:45 .radex Mogę się mylić, bo nie jestem specem od zabezpiecz... 7.08.2008, 21:31:52 
WebCM Szukam uniwersalnego sposobu ochrony przed CSRF. J... 18.11.2008, 14:30:46  |
|
Aktualny czas: 11.10.2025 - 09:32 |
