 [AJAX] Zabezpieczenie przed wywołaniem spoza aplikacji |
| [AJAX] Zabezpieczenie przed wywołaniem spoza aplikacji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 69 Pomógł: 0 Dołączył: 26.01.2006 Ostrzeżenie: (0%) 
 |
Witam!
Zrobilem sobie calkiem fajna aplikacje na bazie Ajaxa i wszystko pieknie dziala. Zaczalem tez na sile starac sie zepsuc aplikacje od strony uzytkownika, zanim wystawie ja publicznie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Jedna rzecz (w sumie kosmetyczna) - czy mozna w jakis sposob zabezpieczyc strony wywolywane za pomoca ajaxa ? Tzn chodzi o to ze np. majac pliki ktore za jego pomoca sa pobierane (np. zanjduja sie w katalogu ax/skrypt.php), zostana wywolane bezposrednio z pzregladarki produkuja dosc nie-ladny stzrep HTML'a lub tekstu. Da sie to w jakis sposob zabezpieczyc ? Od strony serwera nie bardzo chyba jest taka mozliwosc, bo żądanie przychodzi z IP klienta. Od strony aplikacji - hm jedyne co mi przyszlo do glowy to inicjowac zmienna sesyjna po wejsciu na strone w sposob "normalny" i wypluwac output w zaleznosci czy jest ona juz ustawiona czy nie... Jakies inne roziwzania ? czy moze sobie odpuscic ? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 53 Pomógł: 1 Dołączył: 28.09.2007 Skąd: Gdynia Ostrzeżenie: (0%)
|
Mistrzu, proszę Cię, powiedz mi, jak to złamać? Jeśli to złamiesz, masz złamane wszelkiej maści strony php z logowaniem oparte na sesjach. Hm, pehapowcy się raczej nie zajmują włamami a raczej zabezpieczaniem, więc możesz mechanizm zdradzić, to pomogłoby wielu ludziom poprawić swoje zabezpieczenia.
A propos zabezpieczania limitem na odczyty z bazy, w ten sposób mógłbym strzelić sobie samobója, bo wyobraź sobie "wykop efekt" na mojej aplikacji. Trochę rzeczywistego ruchu i leży. Tym bardziej, że to w końcu AJAX, czyli odpala się w momencie kiedy ktoś w aplikacji wpisuje ostatnią literę kodu. Ostatnia sprawa, dlaczego mówisz o zmienianiu sesji? Sesja jest jedna, bezczasowa, czyli ważna do zamknięcia przeglądarki. Utworzona w najprostszy możliwy sposób. W tej samej sesji trzymam też cały stan aplikacji, czyli aktualnie wybrane opcje, zakładki, podstrony, okienka i takie tam. Przy okazji przyłapałem się na błędzie, mój przykładowy kod nie będzie działał. W częsci wywoływanej z AJAX-a należy dodać przed session_start() jeszcze session_id($_COOKIE['SESSION_NAME']). W sumie nie wiem czemu przedwczoraj mi to śmigało, a dzisiaj już nie. W każdym razie po tej przeróbce działa. Co do łamania, próbowałem na swoim serwerze, w innym katalogu odpalić skrypt, w którym próbowałem rozpocząć sesję z przechwyconym ID. Nie działał. Więc nie mam pomysłu, jak możnaby to obejść. |
|
|
|
nu_moon [AJAX] Zabezpieczenie przed wywołaniem spoza aplikacji 8.04.2008, 09:16:35 
nospor Pytanie podstawowe: po co? Co cie obchodzi ze jaki... 8.04.2008, 09:28:18 Sabistik Tak jak napisał nospor nie ma po co. Możesz jednak... 8.04.2008, 09:37:19 piotrf Metoda isXmlHttpRequest sprawdza czy "żądanie... 6.05.2008, 20:17:35 pp-layouts Trochę nie w czas, ale jakby kto do wątku wrócił..... 6.09.2009, 01:40:07 sniffer32 a co się stanie jeżeli odpalę główny skrypt przez ... 6.09.2009, 09:28:08 Istalacar pp-layouts: zamiast bawić się w wysyłanie id sesji... 6.09.2009, 13:43:50 nospor CytatProste do bólu, a na pytanie "po co zabe... 8.09.2009, 06:09:39 pp-layouts Hm, baza ma być dostępna bez logowania. Takie jest... 9.09.2009, 10:17:12 nospor no i ok, mozna dodac te proste i banalne zabezpiec... 9.09.2009, 10:20:49 
seth-kk Cytat(nospor @ 9.09.2009, 11:20:49 ) ... 9.09.2009, 10:50:59 nospor Cytatjak dla mnie takie zabezpieczenia maja troche... 9.09.2009, 10:53:31 seth-kk hmm jednorazowy klucz powinien wydluzyc te przyslo... 9.09.2009, 11:04:40  |
|
Aktualny czas: 7.10.2025 - 13:37 |
