problem -> HTTP_REFERER - Strana 2

Petar Marić · 29. 01. 2007.

A šta ćeš da radiš kada te neko ovako napadne?

Mislim da nije vredno truda da se zbog 3-5% korisnika izlažeš dodatnim sigurnosnim rizicima - IMHCO bolje bi bilo da to vreme utrošiš na proveru sigurnosti sistema.

flash_back · 29. 01. 2007.

preko sesije vucem samo capitchu

ali ako se negde varam molim te me ispravi

Citat:

Originalno napisao Petar Marić

A preko čega misliš da pratiš sesiju? SID možeš slati samo ili kroz cookie ili kroz URL, a ovo drugo ne savetujem - em ružno, em opasno.

ne pratim sesiju, pratim status na submit. ako zelis mogu da ponovo podignem open backeye za dpt, samo onda moram da 'falsiram' zapise inace bih direktno ugrozio privatnost anketiranih

?

Citat:

Originalno napisao Peca

ali ako korisiku ne radi cookie, jedino ti ostaje URL.
web aplikacija bi sama trebala da izvali da li korisniku radi cookie ili ne...

naravno, izbaci error ako nemoze da se setuje kolacic

oliver · 01. 02. 2007.

koliko znam, ne mozes provaliti je li korisnik prihvatio cookie ili ne. setcookie uvijek vrati true (osim ako si nesto zabrljao sa samim parametrima), nema feedback-a od browsera ako su cookies iskljuceni.

Citat:

Originalno napisao phpManual

If setcookie() successfully runs, it will return TRUE. This does not indicate whether the user accepted the cookie.

MorenoArdohain · 01. 02. 2007.

^ Obicno se setuje jedan test cookie, i script odmah pokusa da procita je li setovan. Ako nije, znaci da je cookie u browseru iskljucen.

Ilija Studen · 01. 02. 2007.

^ Zar za ovo nije potreban refresh? Ako se ne varam cookie se setuje kroz HTTP header tako da je nemoguće videti da li je cookie setovan dokle god se stranica ne osveži. Ispravite me ako grešim...

MorenoArdohain · 01. 02. 2007.

^ Tako je. Setovao bi cookie na prvoj strani, na sledecoj bi se proverio da li je uopste setovan test cookie, ako nije, znaci da je iskljucen.

Mada, moze da se iskoristi iframe ili ajax u okviru iste strane.

oliver · 01. 02. 2007.

pa tako reci... to znam, ali je po tvojoj poruci izgledalo kao da script SAM radi posao pa sam se se nasao u nedoumici i sa jednim "wtf" iznad glave

flash_back · 01. 02. 2007.

opusteno

znaci na osnovu submita pratim i kategorisem greske, ako je npr: bas sve od provera ok, pavim zapis tipa 0 ili 'sve je ok' sa svim mogicim parametrima (ip, trenutno vreme, dolazeci url itd..). ako je npr: sve lepo popunjeno a samo captcha 'ne pase' dobijam error 'captcha greska'.. tu je i tip 'greska' kao i 'napad'.. ovo zadnje ume da prevari samo kada korisnik uradi refresh posto je uradio submit.. ali lako to utvrdim preko dolazeceg url-a (sem ako ga bas neko nije sad falsirao)..

inace malo sam sredio sigurnosan kod, sada je nesto tipa [sha1($flash_back.$cist_kod.$flash_back);].. radi po'so

ajd malo sredim baze pa cu da vratim backeye

---
edit:
---

nego da dodam, bilo je i likova (u bukvalnom kontekstu) koji se prijave, znaci ime, prezime real email i ne ostave bas ama nikakav komentar niti nista sto bi moglo koristiti.. cak izaberu opciju da ne zele da se prijave na mailing listu.. hm, pa sto su se onda uopste i prijavljivali da mi je samo znati

nego imam mali problem, mail koji salje server nakon uspesne prijave karakterise se kao spam u gmail-u tj. nepozeljna posta.. mislim da je nesto do samog headera poruke ["\"Overheat-Tuning\" <admin@overheat-tuning.com>"] pa ako moze neki mali savet bilo bi lepo

29. 01. 2007.	#11
Petar Marić Python Ambassador Master Datum učlanjenja: 06.06.2005 Lokacija: Novi Sad Poruke: 602 Hvala: 28 27 "Hvala" u 17 poruka	A šta ćeš da radiš kada te neko ovako napadne? Mislim da nije vredno truda da se zbog 3-5% korisnika izlažeš dodatnim sigurnosnim rizicima - IMHCO bolje bi bilo da to vreme utrošiš na proveru sigurnosti sistema. __________________ Python Ambassador of Serbia

01. 02. 2007.	#14
MorenoArdohain Knowledge base Wrote a book Datum učlanjenja: 16.06.2005 Lokacija: Novi Sad Poruke: 1.437 Hvala: 37 131 "Hvala" u 82 poruka	^ Obicno se setuje jedan test cookie, i script odmah pokusa da procita je li setovan. Ako nije, znaci da je cookie u browseru iskljucen. __________________ Não quero mais seguir um só caminho

01. 02. 2007.	#15
Ilija Studen Direktor Kombinata Invented the damn thing Datum učlanjenja: 07.06.2005 Poruke: 2.669 Hvala: 44 119 "Hvala" u 64 poruka	^ Zar za ovo nije potreban refresh? Ako se ne varam cookie se setuje kroz HTTP header tako da je nemoguće videti da li je cookie setovan dokle god se stranica ne osveži. Ispravite me ako grešim... __________________ activeCollab - Project Management and Collaboration Tool iz domaće kuhinje \| area51.rs - Blog

01. 02. 2007.	#16
MorenoArdohain Knowledge base Wrote a book Datum učlanjenja: 16.06.2005 Lokacija: Novi Sad Poruke: 1.437 Hvala: 37 131 "Hvala" u 82 poruka	^ Tako je. Setovao bi cookie na prvoj strani, na sledecoj bi se proverio da li je uopste setovan test cookie, ako nije, znaci da je iskljucen. Mada, moze da se iskoristi iframe ili ajax u okviru iste strane. __________________ Não quero mais seguir um só caminho

01. 02. 2007.	#17
oliver expert Expert Datum učlanjenja: 16.06.2005 Lokacija: Novi Sad Poruke: 580 Hvala: 1 0 "Hvala" u 0 poruka	pa tako reci... to znam, ali je po tvojoj poruci izgledalo kao da script SAM radi posao pa sam se se nasao u nedoumici i sa jednim "wtf" iznad glave __________________

01. 02. 2007.	#18
flash_back Banned Professional Datum učlanjenja: 23.04.2006 Lokacija: BG Poruke: 270 Hvala: 11 9 "Hvala" u 5 poruka	opusteno znaci na osnovu submita pratim i kategorisem greske, ako je npr: bas sve od provera ok, pavim zapis tipa 0 ili 'sve je ok' sa svim mogicim parametrima (ip, trenutno vreme, dolazeci url itd..). ako je npr: sve lepo popunjeno a samo captcha 'ne pase' dobijam error 'captcha greska'.. tu je i tip 'greska' kao i 'napad'.. ovo zadnje ume da prevari samo kada korisnik uradi refresh posto je uradio submit.. ali lako to utvrdim preko dolazeceg url-a (sem ako ga bas neko nije sad falsirao).. inace malo sam sredio sigurnosan kod, sada je nesto tipa [sha1($flash_back.$cist_kod.$flash_back);].. radi po'so ajd malo sredim baze pa cu da vratim backeye --- edit: --- nego da dodam, bilo je i likova (u bukvalnom kontekstu) koji se prijave, znaci ime, prezime real email i ne ostave bas ama nikakav komentar niti nista sto bi moglo koristiti.. cak izaberu opciju da ne zele da se prijave na mailing listu.. hm, pa sto su se onda uopste i prijavljivali da mi je samo znati nego imam mali problem, mail koji salje server nakon uspesne prijave karakterise se kao spam u gmail-u tj. nepozeljna posta.. mislim da je nesto do samog headera poruke ["\"Overheat-Tuning\" <admin@overheat-tuning.com>"] pa ako moze neki mali savet bilo bi lepo Poslednja izmena od flash_back : 01. 02. 2007. u 23:01.

Alati teme
Pogledajte verziju za štampanje Pošaljite email-om ovu stranu
Način prikaza
Linearni prikaz Prebacite u hibridni prikaz Prebacite u prikaz po temama

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
Double float problem - resen, ali ima dodatni problem :0	ljtruba	(X)HTML, JavaScript, DHTML, XML, CSS	34	23. 08. 2008. 02:28
Prazan $_SERVER['HTTP_REFERER']	bluesman	PHP	26	11. 11. 2005. 13:43