Форумы портала PHP.SU

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Форумы портала PHP.SU » Список сообщений, автором которых является DeepVarvar

Страниц (686): « 1 2 3 4 [5] 6 7 8 9 ... » В конец

Найдено сообщений: 10281

DeepVarvar	Отправлено: 26 Ноября, 2015 - 00:32:35 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645	Увидишь.

DeepVarvar

Отправлено: 26 Ноября, 2015 - 00:31:38 • Тема: mcrypt_encrypt(): The IV parameter must be as long • Форум: Кодировки и все смежное

Ответов: 6
Просмотров: 2322

Цинкани:

PHP:
скопировать код в буфер обмена

$size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_CBC);
 $iv = mcrypt_create_iv($size, MCRYPT_DEV_RANDOM);

И сравни чем они вообще там отличаются (то что ты руками забил, и то что он выдаст).
Ему не нравится размер (блока?).

DeepVarvar	Отправлено: 26 Ноября, 2015 - 00:22:16 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645	MiksIr пишет: Где форум http://phpsu[dot]deep-host[dot]ru/ но это не актуальная версия, сделано уже гораздо больше. MiksIr пишет: он ее заполнить не сможет из-за защиты браузера Да-да, и это тоже. Так от чего же спасает токен?

DeepVarvar	Отправлено: 25 Ноября, 2015 - 22:02:18 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645	teddy пишет: он тоже осядет в айфрейм, будет отправлен на сервер, и пройдет проверку Вот и я оп том же ))

DeepVarvar

Отправлено: 25 Ноября, 2015 - 21:54:53 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

MiksIr пишет:

Именно так, да

Так у тебя энтерпрайзозависимость. Лечись.

MiksIr пишет:

Это только всяким гениям, которые "свой форум пишут" нужно

Если ты лабух -- это не значит что остальные тоже лабухи.
Других задевать можно, и меня в том числе, только аргументированно.

DeepVarvar

Отправлено: 25 Ноября, 2015 - 21:33:30 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

MiksIr пишет:

Набросал на nginx проверки - и все

Причем тут нжинкс? Я говорю о проверках в приложении.

MiksIr пишет:

использовать токен не сложно

Да, берешь либу васи пупкина... или обмазываешься композером, фреймворками, подрубаешь либу пети корочкина с тремя высшими академическими образованиями... или мастеришь свой велосипед.

MiksIr пишет:

можно присрать как впихивание токена в форму через парсинг буфера вывода

http://i[dot]imgur[dot]com/7IQbWD9[dot]png

teddy пишет:

речь не о том насколько это популярно

Так сделай. Аргументируй. Выложи на гитхаб.
Я вот понял. Будет работать.
Но есть касяки и неудобства о которых я говорил.
Однако в любом случае делай.

teddy пишет:

И после этого меня иногда называют параноиком

Эээээ, погоди, не надо красть у меня медаль параноика!!!

DeepVarvar

Отправлено: 25 Ноября, 2015 - 21:15:36 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

MiksIr пишет:

смешали все атаки, которые знали

Да, тема растеклась как понос по полу вокзального туалета.
Но без этого никак -- люди хотели ловить реферер на слабые места.
Так что вполне ожидаемо.
Я уже подумал может табличку накидать в ёкселе с галочками...

DeepVarvar

Отправлено: 25 Ноября, 2015 - 21:01:07 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

teddy пишет:

При успешном входе

Ну вот и покажи (себе покажи), сколько сайтов используют именно такую схему токена.
У тебя там браузер модный наверное (который для красоты скрывает гет-параметры в адресной строке)?
У меня не скрывает.
Я ни на одном сайте не видел перманентных токенов в гете.
Так что вот возьми, и запили токен-либу на своем принципе, и посмотри как её воспримут хомячки и разработчики.

teddy пишет:

Ты ведь просил пример подмены реферера, вот я и сказал, если утащить sessid...

А я сказал что сессид ты не утащишь. Поэтому остальное можешь и не наваливать.

teddy пишет:

мне не очень хочется продолжать

Да мне особо тоже. Обсудили действительно все. Но если кто-то что-то вспомнит или захочет добавить за или против -- велком.

MiksIr пишет:

через передачу хеша

Пфффф ))
Ладно, мои сообщения пропускай, но иди почитай хотябы что другие писали.
(Добавление)

Мелкий пишет:

Зачем? Одного токена на сессию вполне достаточно.

Я имел ввиду загенерить его в гет параметр или в хидден инпут формы. Иначе пользак так и будет видеть "ПНХ".

DeepVarvar	Отправлено: 25 Ноября, 2015 - 20:34:42 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP
Ответов: 76 Просмотров: 9645	Все с тобой понятно.

DeepVarvar

Отправлено: 25 Ноября, 2015 - 20:21:41 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

teddy пишет:

нет валидного токена в запросе - нет валидного токена в ответе

Но ведь где-то должен выдаваться первичный валидный токен, иначе ты не отследишь токеновый след ))

teddy пишет:

защищаться от CSRF с помощью защиты от XSS немного странно

Не пори чушь. Каким боком реферер спасает от XSS?

MiksIr пишет:

бла-бла-бла ... если у вас говнокод

С таким подходом у нас разговора не выйдет.
Ты тред с самого начала осилил хотябы?
(Добавление)

Мелкий пишет:

недопустимая ошибка поведения клиента

Надо определиться что есть "клиент" -- программа-браузер или тело, тыкающее кнопы.

Мелкий пишет:

открыть вновь форму с соответствующим сообщением

И загенерить токен, да? Иначе будет как у teddy -- токена нет? ПНХ! Иди получай в момент авторизации или я хз где, но в единственном месте.

DeepVarvar

Отправлено: 25 Ноября, 2015 - 19:33:33 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

Мелкий пишет:

Отсутствие реферера - допустимое поведение клиента

Но и отсутствие токена -- допустимое поведение клиента.
(Добавление)

teddy пишет:

Что мешает при не валидном запросе не подставлять токен никуда?

Как он будет невалидным если ты запрос из ифрейма никак не отличишь от обычного.

teddy пишет:

Я вообще то говорил про XSS

Я вообще-то в самом-самом начале говорил что хсс это совсем другой вопрос.

teddy пишет:

много общественных мест

ССЗБ.

DeepVarvar	Отправлено: 25 Ноября, 2015 - 09:07:49 • Тема: Решите проблему • Форум: Напишите за меня, пожалуйста
Ответов: 5 Просмотров: 48	Siteapp пишет: Int 11 Это ответ на первый вопрос. Где ответ на второй? Или ты уже все понял?

DeepVarvar

Отправлено: 25 Ноября, 2015 - 09:02:31 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

teddy пишет:

Угу, потому что бесполезно

Нет же. Ну ок, у тебя тоже один раз кликнуть надо для получения токена.

teddy пишет:

поставить картинку в DOM а её сорц указать на свой сервер + document.cookie

Куку чужого домена браузер не отправит на левый сорц.
На своем сайте ты имеешь доступ только к своим кукам.

teddy пишет:

это вполне может быть инет клуб или другое общаковое заведение

Или тролль в гостях у жертвы, или жертва потеряла смарт, или...
От этого уже не спасет ни мой реферер, ни твой токен.

Мелкий пишет:

значит и реферер тут же будет передан корректный

И токен тоже.

Мелкий пишет:

Не пришёл реферер - это допустимое поведение клиента

Это смотря в каком контексте рассматривать.

Мелкий пишет:

Убить реферер - просто

Убить === подменить.

DeepVarvar

Отправлено: 24 Ноября, 2015 - 23:11:04 • Тема: Нужно ли сверять токен в БД? • Форум: HTTP и PHP

Ответов: 76
Просмотров: 9645

teddy пишет:

но форму или сам токен я тебе просто не отдам

Кстати, а як ты определишь что тебя запросили с ифрейма, а? ))

teddy пишет:

Сразу после первого клика по какой нибудь ссылке в айфрейме

В твоем варианте вообще не надо кликать.

teddy пишет:

если кто то покопается в настройках/плагинах браузера жертвы

Значит жертву уже поимели по полной программе -- получен непосредственный доступ к ПК.
Мы тут уже никакими припарками не поможем.

teddy пишет:

при наличии XSS уязвимости, твой реферер легко подменится каким нибудь курлом и сессайди будет на руках для осуществления успешного запроса

Причем тут курлы-шмурлы?
Опустим, не пугай ежа.
Лучше покажи как ты, проведя XSS, с помощью жс получишь куки чужого домена ))

teddy пишет:

если увели sessid

Значит там был митм, т.к. через XSS куки чужого домена не увести.

teddy пишет:

Как то так

Из пустого в порожнее.

DeepVarvar

Отправлено: 24 Ноября, 2015 - 22:32:00 • Тема: Странное поведение jQuery.html() • Форум: JavaScript & VBScript

Ответов: 3
Просмотров: 661

Anguis пишет:

фактический html, а не интерпретированный

Пэ внутри пэ нельзя, иначе он думает что это не пэ внутри пэ, а то что тебе показали выше.

Anguis пишет:

Что же это за преобразования такие?

Типа рога растут оттудова: http://php.net/manual/ru/class.d...nt.props.recover

Спойлер (Отобразить)

Страниц (686): « 1 2 3 4 [5] 6 7 8 9 ... » В конец

Powered by ExBB FM 1.0 RC1. InvisionExBB