-
PHP
(
http://www.devprotalk.com/forumdisplay.php?f=9)
| ivanhoe |
09. 08. 2006. 21:25 |
ma referrer header salje browser, imas extenziju za npr firefox kojom mozes da setujes sta god zelis u headeru, ukljucujuci i referrer... a postoje i skripte koje namestis kao proxy i onda one rade search & replace headera po zelji (obicno se koristi zarad privatnosti, ali moze i da se zloupotrebi).
Osnovno pravilo sigurnosti na netu je da nikad ne verujes podacima koji ti dolaze od korisnika... uvek treba imati i mehanizam da se ti podaci nekako provere...
|
| misk0 |
09. 08. 2006. 21:39 |
Naravno, nisam ni htio objasnjavati to rjesenje gdje samo saljes username i refer :)
Mislim, ovaj URL sa GET parametrima se fakticki ne vidi (vjerovatno se moze nekako i usnifati, na lokalnom compu, ali taj user ga je i unio tako da nema potrebe da snifa to sto je poslao), ali i POST se moze usnifati, mislim, nema tu neke razlike, ni jedan ni drugi nisu kriptovani.
|
ma je, al moze ga vidjet npr onaj u kafeu pored njega... ili nakon njega...ili kolega s posla u drugoj smjeni... i opet ista stvar...
zato ono sa 1X1 img...
|
| misk0 |
09. 08. 2006. 22:17 |
Citat:
Originalno napisao dee
ma je, al moze ga vidjet npr onaj u kafeu pored njega... ili nakon njega...ili kolega s posla u drugoj smjeni... i opet ista stvar...
|
Ne moze, ta medjustranica na koju ode i ne vidi se buduci da server ne stigne da posalje nista osim headera tako da i nemas tu stranicu (ili cak nekoliko njih) u history.
Ako zelis, mogu ti poslati link da se uvjeris :) |
ma nije stvar da se uvjerim, vjerujem ti ja :) nego me zanima, jbg...
aj daj bas da vidim :)
|
| misk0 |
10. 08. 2006. 10:53 |
Evo, pogledaj
Kôd:
http://ibm.palija.net/logforum.html
Vidjeces gdje ces zavristi, a ako pogledas action tag i link koji se nalazi u njemu, vidjeces da si ulogovan.
Isto tako, ako si vec ulogovan pa se pokusas logovati zavrsices na trecem sajtu :)
A onda pogledaj nakon svega, sta imas u history :) |
| dinke |
10. 08. 2006. 11:39 |
Samo da pomenem da si sa curl-om mogao sve relativno lako zavrsiti (slanje post requesta, snimanje cookia i sl.). Ja imam jednu curl klasu koju koristim vec neko vreme za slicne stvari, postavicu je za koji dan (kad je malo jos nabudzim) na phpclasses, pa ces moci da vidis i probas.
Inace, ako phpbb koristi js redirekciju, onda ti nema spasa nego da nakon login-a rucno parsujes stranu koju vrati i odradis redirekciju.
|
| Vreme je GMT +2. Trenutno vreme je 21:27. |
|
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.
