|
Тема
|
gat3way
|
|
Автор |
ЛУД ПPЪЧ (еблив смърдел) |
Публикувано | 21.01.09 11:26 |
|
случайно попаднах на тва, постнато от него:
отдавна не се бях кефил на разни чалъми
hell storms, rush over the earth
bestial invasioooooooooooon
| |
|
Тва е маса изнервящо... Иначе чалъмът е прекрасен. Ще го приложа на някого.
П.П И все пак защо браузърът се опитва да зареди картинка .php? Има ли ситуация, в която наистина картинката може да се дава от скрипт?
Редактирано от TAfricanski на 21.01.09 17:46.
| |
|
Стига бе, какво сте ме подхванали
А иначе браузърът няма как да разбере дали това е картинка или не преди да го заяви (а в момента в който го направи, вече е късно). Има ситуация - всички решения с captcha представляват някакъв скрипт, който динамично генерира картинка например.
Ако всички човешки съзнания сме свързани в една мрежа, то чалгарите са на друг VLAN
| |
|
между другото, ff & opera нямаха проблеми, но konqueror се логаутна, въпреки зададеното за невъншни кукита. аз тая опция даже я бях забравил, щото я влача от няколко години от профил на профил.
hell storms, rush over the earth
bestial invasioooooooooooon
| |
|
не само, че нема никви проблеми да е скрипт, но дори е необходимост понякога.
а за показания (д)ефект са виновни само и единствено производителите на браузъри.
hell storms, rush over the earth
bestial invasioooooooooooon
| |
|
Не съм много съгласен.
Това което могат да направят браузърите е ограничено. Ето например, да не изпращат кукита когато обектът се реферира от външен сайт. Това би блокирало повечето опити такива глупости да се правят по същия начин (отвориш един thread и бум). Въпреки че дори тогава не е гаранция - например ако въпросният форум е криво написан, тогава можеш да правиш същата простотия върху форума - това няма да се води "външен сайт". Например ако клубовете на дира бяха написани некадърно, с един подходящо скалъпен форумен пост би могло да се правят пакости върху регистрираните потребители, гледащи поста.
Обаче това е само една разновидност на атаката - друга разновидност е да си направиш някаква страничка и по един или друг начин да подлъжеш там жертвата си да я отвори. Това дава повече възможности да излъжеш браузъра, че заявката не идва от "външен сайт". Примерно много зъл престъпен идиот може да намери XSS проблем в сайта. Ами просто си прави на злата страничка един iframe, който утилизира този проблем. Като src на iframe-a е нещо от сорта на http://victimsite/vulnerable?xss=<script>window.location=String.fromCharCode(ascii кода на http://victimsite/vulnerablelink)</script>. Тогава заявката съвсем редовно ще си дойде от правилното място и браузърът няма да се усети.
Ся разбира се това са малко конспиративни сценарии, но са пример, че тези неща могат да се случат и браузъра да не им попречи.
Според мен най-виновни са девелопърите на въпросните сайтове...никакъв проблем не е да проверяват какъв е referer-a или още по-добре - за всяка такава операция да се генерира една случайна стойност, която се POST-ва, за да се потвърди. Става малко неудобно за потребителите да цъкат постоянно на "сигурни ли сте че искате...", но пък гарантира сигурност от такива тъпанарщини.
Между другото отчайващо много уеб-услуги из беге-то са склонни към такива проблеми
Ако всички човешки съзнания сме свързани в една мрежа, то чалгарите са на друг VLAN
| |
|
Операта ми на ХР се логаутна от всичко споменато. Има ли настройка, която да оправям?
| |
|
да, има настройка
hell storms, rush over the earth
bestial invasioooooooooooon
| |
|
Мен точно през ff ме логаутна.
Your future dream is a shopping scheme.
| |
|
|
|
|