 CSRF, bezpieczenstwo |
| CSRF, bezpieczenstwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 8.03.2007 Ostrzeżenie: (0%) 
 |
Jak wiemy tagi bbcode etc. np [img] stwarzaja nie male zagrozenie. Jako img moge podstawic plik php i robic co mi sie zywnie podoba (podkrasc cookies, sessje etc.). Chcialbym sie Was polecic jak zapobiec tego typu zagrozeniom? Uzytkownicy maja avatary, wyswietlane na forach, swoich profilach itd. potencjalnie kazdy moglby byc niebezpieczny. Jak wiec zapobiec, czy zablokowac tego typu zagrozenie? Z pewnoscia sprawdzanie czy dany plik graficzny pochodzi z tych bardziej znanych, zaufanych serwisow (np. imagshack itd.) jest jakims rozwiazaniem, ale niewatpliwie uciazliwe dla uzytkownikow, ktorzy nie rzadko wola hostowac pliki u siebie.
Z gory dziekuje za pomoc. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 8.03.2007 Ostrzeżenie: (0%)
|
Widzę Panowie, że sporo odpowiedzi. Tak jak niektórzy z Was piszą, nie ma sprawnej metody na zabezpieczenie się przed tego typu wykradaniem danych (mowa głównie o plikach graficznych, które nimi do końca nie są). O tzw. 'białej liście' sam pisałem, ale jest to jak sami wiecie nie bardzo user-friendly. Chciałbym się zapytać, jak to się rozwiązuje w większych aplikacjach? Choćby forum IPB, vBulletin i inne? Przecież nie możliwe jest, że nie ma aplikacji zabezpieczonej odpowiednio.
|
|
|
|
aren CSRF 6.08.2008, 16:36:55 
normanos ja mam sprawdzanie czy to jest obrazek z timeoutem... 6.08.2008, 16:58:57 aren No wiec wlasnie, wiec jak narazie chyba pozostaje ... 6.08.2008, 17:24:05 kubal nie wiem dokładnie o co wam chodzi (to przez przem... 6.08.2008, 19:28:51 normanos o ile jpg jest jpgiem 6.08.2008, 19:43:12 SirZooro Wg mnie przed CSRF nie da się zabezpieczyć inaczej... 6.08.2008, 20:01:55 normanos @SirZooro: to żadne wyjście z sytuacji, równie dob... 6.08.2008, 20:30:53 radex_p Wikipedia tyle tylko mówi na ten temat:
Istnieje ... 6.08.2008, 20:37:19 normanos @radex_p: ale to akurat nie na temat 6.08.2008, 20:40:09 
Kicok Cytat(normanos @ 6.08.2008, 21:40:09 ... 6.08.2008, 20:52:31 bełdzio najlepiej uploadować pliki na swoj serwer 6.08.2008, 22:07:16 SirZooro @bełdzio: teoretycznie tak, ale można sobie niechc... 6.08.2008, 23:03:21 bełdzio ale można się przed tym zabezpieczyc najblizsza n... 7.08.2008, 08:20:47 SirZooro @bełdzio: zatem czekam - ciekaw jestem co napiszes... 7.08.2008, 09:19:28 rzymek01 tak jak pisze bełdzio, wysyłanie plików na swój se... 7.08.2008, 10:26:57 Sh4dow Takie działania można skutecznie utrudniać. Ale ch... 7.08.2008, 10:42:17 zimi Cytat@bełdzio: zatem czekam - ciekaw jestem c... 7.08.2008, 15:19:34 SirZooro @zimi: no to źle Ci się wydaje - kiedyś udało mi ... 7.08.2008, 16:14:23 zimi nie rozumiem jaką to niesie ze sobą ideę...
ja na ... 7.08.2008, 17:34:49 SirZooro Żeby to wykorzystać trzeba:
1. Wysłać taki sprepar... 7.08.2008, 17:57:36 zimi o ho ho ho...
i co jeszcze byś chciał hasło bazy ... 7.08.2008, 18:10:57 SirZooro Zawsze można poszukać
Mi chodziło tutaj o pokaza... 7.08.2008, 18:21:45 .radex Mogę się mylić, bo nie jestem specem od zabezpiecz... 7.08.2008, 21:31:52 WebCM Szukam uniwersalnego sposobu ochrony przed CSRF. J... 18.11.2008, 14:30:46  |
|
Aktualny czas: 17.10.2025 - 01:34 |
