PHP . SU
Программирование на PHP, MySQL и другие веб-технологии
Страниц (686): « 1 2 3 4 [5] 6 7 8 9 ... » В конец
Найдено сообщений: 10281
DeepVarvar
Отправлено: 25 Ноября, 2015 - 21:54:53 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
MiksIr пишет: Именно так, да
Так у тебя энтерпрайзозависимость. Лечись.
MiksIr пишет: Это только всяким гениям, которые "свой форум пишут" нужно
Если ты лабух -- это не значит что остальные тоже лабухи.
Других задевать можно, и меня в том числе, только аргументированно.
DeepVarvar
Отправлено: 25 Ноября, 2015 - 21:33:30 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
MiksIr пишет: Набросал на nginx проверки - и все
Причем тут нжинкс? Я говорю о проверках в приложении.
MiksIr пишет: использовать токен не сложно
Да, берешь либу васи пупкина... или обмазываешься композером, фреймворками, подрубаешь либу пети корочкина с тремя высшими академическими образованиями... или мастеришь свой велосипед.
MiksIr пишет: можно присрать как впихивание токена в форму через парсинг буфера вывода
http://i[dot]imgur[dot]com/7IQbWD9[dot]png
teddy пишет: речь не о том насколько это популярно
Так сделай. Аргументируй. Выложи на гитхаб.
Я вот понял. Будет работать.
Но есть касяки и неудобства о которых я говорил.
Однако в любом случае делай.
teddy пишет: И после этого меня иногда называют параноиком
Эээээ, погоди, не надо красть у меня медаль параноика!!!
DeepVarvar
Отправлено: 25 Ноября, 2015 - 21:15:36 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
MiksIr пишет: смешали все атаки, которые знали
Да, тема растеклась как понос по полу вокзального туалета.
Но без этого никак -- люди хотели ловить реферер на слабые места.
Так что вполне ожидаемо.
Я уже подумал может табличку накидать в ёкселе с галочками...
DeepVarvar
Отправлено: 25 Ноября, 2015 - 21:01:07 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
teddy пишет: При успешном входе
Ну вот и покажи (себе покажи), сколько сайтов используют именно такую схему токена.
У тебя там браузер модный наверное (который для красоты скрывает гет-параметры в адресной строке)?
У меня не скрывает.
Я ни на одном сайте не видел перманентных токенов в гете.
Так что вот возьми, и запили токен-либу на своем принципе, и посмотри как её воспримут хомячки и разработчики.
teddy пишет: Ты ведь просил пример подмены реферера, вот я и сказал, если утащить sessid...
А я сказал что сессид ты не утащишь. Поэтому остальное можешь и не наваливать.
teddy пишет: мне не очень хочется продолжать
Да мне особо тоже. Обсудили действительно все. Но если кто-то что-то вспомнит или захочет добавить за или против -- велком.
MiksIr пишет: через передачу хеша
Пфффф ))
Ладно, мои сообщения пропускай, но иди почитай хотябы что другие писали.
(Добавление)
Мелкий пишет: Зачем? Одного токена на сессию вполне достаточно.
Я имел ввиду загенерить его в гет параметр или в хидден инпут формы. Иначе пользак так и будет видеть "ПНХ".
DeepVarvar
Отправлено: 25 Ноября, 2015 - 20:21:41 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
teddy пишет: нет валидного токена в запросе - нет валидного токена в ответе
Но ведь где-то должен выдаваться первичный валидный токен, иначе ты не отследишь токеновый след ))
teddy пишет: защищаться от CSRF с помощью защиты от XSS немного странно
Не пори чушь. Каким боком реферер спасает от XSS?
MiksIr пишет: бла-бла-бла ... если у вас говнокод
С таким подходом у нас разговора не выйдет.
Ты тред с самого начала осилил хотябы?
(Добавление)
Мелкий пишет: недопустимая ошибка поведения клиента
Надо определиться что есть "клиент" -- программа-браузер или тело, тыкающее кнопы.
Мелкий пишет: открыть вновь форму с соответствующим сообщением
И загенерить токен, да? Иначе будет как у teddy -- токена нет? ПНХ! Иди получай в момент авторизации или я хз где, но в единственном месте.
DeepVarvar
Отправлено: 25 Ноября, 2015 - 19:33:33 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
Мелкий пишет: Отсутствие реферера - допустимое поведение клиента
Но и отсутствие токена -- допустимое поведение клиента.
(Добавление)
teddy пишет: Что мешает при не валидном запросе не подставлять токен никуда?
Как он будет невалидным если ты запрос из ифрейма никак не отличишь от обычного.
teddy пишет: Я вообще то говорил про XSS
Я вообще-то в самом-самом начале говорил что хсс это совсем другой вопрос.
teddy пишет: много общественных мест
ССЗБ.
DeepVarvar
Отправлено: 25 Ноября, 2015 - 09:02:31 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
teddy пишет: Угу, потому что бесполезно
Нет же. Ну ок, у тебя тоже один раз кликнуть надо для получения токена.
teddy пишет: поставить картинку в DOM а её сорц указать на свой сервер + document.cookie
Куку чужого домена браузер не отправит на левый сорц.
На своем сайте ты имеешь доступ только к своим кукам.
teddy пишет: это вполне может быть инет клуб или другое общаковое заведение
Или тролль в гостях у жертвы, или жертва потеряла смарт, или...
От этого уже не спасет ни мой реферер, ни твой токен.
Мелкий пишет: значит и реферер тут же будет передан корректный
И токен тоже.
Мелкий пишет: Не пришёл реферер - это допустимое поведение клиента
Это смотря в каком контексте рассматривать.
Мелкий пишет: Убить реферер - просто
Убить === подменить.
DeepVarvar
Отправлено: 24 Ноября, 2015 - 23:11:04 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645
teddy пишет: но форму или сам токен я тебе просто не отдам
Кстати, а як ты определишь что тебя запросили с ифрейма, а? ))
teddy пишет: Сразу после первого клика по какой нибудь ссылке в айфрейме
В твоем варианте вообще не надо кликать.
teddy пишет: если кто то покопается в настройках/плагинах браузера жертвы
Значит жертву уже поимели по полной программе -- получен непосредственный доступ к ПК.
Мы тут уже никакими припарками не поможем.
teddy пишет: при наличии XSS уязвимости, твой реферер легко подменится каким нибудь курлом и сессайди будет на руках для осуществления успешного запроса
Причем тут курлы-шмурлы?
Опустим, не пугай ежа.
Лучше покажи как ты, проведя XSS, с помощью жс получишь куки чужого домена ))
teddy пишет: если увели sessid
Значит там был митм, т.к. через XSS куки чужого домена не увести.
Из пустого в порожнее.
DeepVarvar
Отправлено: 24 Ноября, 2015 - 22:32:00 • Тема: Странное поведение jQuery.html() • Форум: JavaScript & VBScript
Ответов: 3 Просмотров: 661
Anguis пишет: фактический html, а не интерпретированный
Пэ внутри пэ нельзя, иначе он думает что это не пэ внутри пэ, а то что тебе показали выше.
Anguis пишет: Что же это за преобразования такие?
Типа рога растут оттудова: http://php.net/manual/ru/class.d...nt.props.recover
Спойлер (Отобразить ) Ну или если ты готов к шоку, то конкретнее отсюдова:
http://www[dot]xmlsoft[dot]org/html/libxml-parser[dot]html
Цитата: Enum xmlParserOption {
XML_PARSE_RECOVER = 1 : recover on errors
XML_PARSE_NOENT = 2 : substitute entities
XML_PARSE_DTDLOAD = 4 : load the external subset
XML_PARSE_DTDATTR = 8 : default DTD attributes
XML_PARSE_DTDVALID = 16 : validate with the DTD
XML_PARSE_NOERROR = 32 : suppress error reports
XML_PARSE_NOWARNING = 64 : suppress warning reports
XML_PARSE_PEDANTIC = 128 : pedantic error reporting
XML_PARSE_NOBLANKS = 256 : remove blank nodes
XML_PARSE_SAX1 = 512 : use the SAX1 interface internally
XML_PARSE_XINCLUDE = 1024 : Implement XInclude substitition
XML_PARSE_NONET = 2048 : Forbid network access
XML_PARSE_NODICT = 4096 : Do not reuse the context dictionnary
XML_PARSE_NSCLEAN = 8192 : remove redundant namespaces declarations
XML_PARSE_NOCDATA = 16384 : merge CDATA as text nodes
XML_PARSE_NOXINCNODE = 32768 : do not generate XINCLUDE START/END nodes
XML_PARSE_COMPACT = 65536 : compact small text nodes; no modification of the tree allowed afterwards (will possibly crash if you try to modify the tree)
XML_PARSE_OLD10 = 131072 : parse using XML-1.0 before update 5
XML_PARSE_NOBASEFIX = 262144 : do not fixup XINCLUDE xml:base uris
XML_PARSE_HUGE = 524288 : relax any hardcoded limit from the parser
XML_PARSE_OLDSAX = 1048576 : parse using SAX2 interface before 2.7.0
XML_PARSE_IGNORE_ENC = 2097152 : ignore internal document encoding hint
XML_PARSE_BIG_LINES = 4194304 : Store big lines numbers in text PSVI field
}
Страниц (686): « 1 2 3 4 [5] 6 7 8 9 ... » В конец
Powered by ExBB FM 1.0 RC1. InvisionExBB