DeepVarvar пишет:Пользак в курсе и ССЗБ.
Нет. Антивирусы, банероблокировщики. Пользователь может быть не в курсе, что реферер блокируется. ПО мог установить кто-то еще. Сын - своим родителям, например.
DeepVarvar пишет:Сокрытие попки и защита конкретного ресурса от конкретной атаки -- разные вещи.
Я уже писал это в той теме, но у вас плохо с понималкой и вы съехали с темы на "энтерпрайз", угу, когда сказать нечего.
Да, можно наплевать на таких людей. А можно и не наплевать. Если решение с токенами по каким-то причинам сложное - можно наплевать. Чаще всего токены можно внедрить без сильных затрат даже в существующий проект, и уж точно без проблем - в новый. Так зачем плевать на людей с блокированным реферером, если можно не плевать? Только потому, что у разработчика говно бурлит?
Если вы делаете форму получения беслатного подарка - то ССЗБ. А если что-то связанное с получением вами или вашим работодателем дохода - то ССЗБ уже вы. По большому счету, тем и отличается говнокодер он серьезного разработчика, даже мидла, наверное, не говоря уже о сеньорах - просчитыванием своих решений и их последствий.
Более того. Передача данных формы - это важная часть работы всего веба. Никто и никогда, никакие браузеры и т.п. не начнут резать половину данных. А вот с реферером - такого уже не скажешь. Ибо это наибесполезнейший заголовок, важный разве что сеошникам, и то уже не очень.
На сим закончим. Если для вас реферер - это местый бог интернета и вы на него молитесь и верите в него - ваше право.
DeepVarvar пишет: Если соединение не секурное, то прокся может поменять и тело запроса, в том числе вырезать токен.
С чего бы это? Реферер может вырезать администратор прокси (да, я говорю про корпоративные прокси) просто так. Покажется ему, что так privacy пользователей фирмы соблюдается лучше (к слову, и будет прав). А пост данные то зачем ему резать? В данном случае ваша фантазия бред.
DeepVarvar пишет: при возможности (брут или наличие ключа) анализа и подмены трафа гото п. №1
Не по теме, но корпоративные прокси поступают проще. У всех компьютеров фирмы установен свой собственный корневой сертификат как доверенный. С помощью его "на лету" выдается сертификат тому https домену, куда идет сотрудник. (Отредактировано автором: 03 Декабря, 2015 - 12:25:36)
|