problem -> HTTP_REFERER

[flash_back]

Pozdrav pre svega..

treba mi mala pomoc a neznam kome drugo da se obratim.. problem je sledeci, napisao sam kod za jednu anketu, cak uradio i ceo (100% ®) background sistem za istu (interesu je me bas sta rade ljudi na anketama i kako se ponasaju)..

i imam jedan banalan problem.. ne mogu da nateram online server da mi ispise $_SERVER['HTTP_REFERER'], dobijam empty value a s tim korakom kontam dali je u pitanju neki hack/napad..

dali neko ima neku ideju kako da se ovo izvede?

[bluesman]

Glupo pitanje, ali nadam se da ne pristupaš direktno scriptu u kojem želiš da ispišeš HTTP_REFERER ?

[flash_back]

Pa odgovor je i da i ne

Konkretno na post forme uporedjujem domen adresu sa predhodnim url-om, ako postoji match anketu karakterisem kao validnu i pravim zapis u bazi, sve suprotno karakterisem kao napad..

problem je u tome da nemogu da izvucem od servera HTTP_REFERER, dobijam konstantno praznu vrednost (ista je prica sa linkovima, bez posta forme)..

[bluesman]

Ne mogu da ti kažem konkretno jer nemam sada strpljenja da gledam tuđi kod, ali evo probaj:

http://www.devprotalk.com/bluesman/b.php

kada klikneš na link izađe:

referer: http://www.devprotalk.com/bluesman/b.php

A to je na istom serveru na kojem je i tvoj sajt.

Ili klikni na http://www.devprotalk.com/bluesman/a.php
izaći će ova strana kao referer.

[Peca]

mozda imas antivirus/firewall pa ti on blokira referer.

imaj na umu da postoje korisnici ciji browser ne ostavlja referer, sto zbog antivirusa/firewalla, sto zbog konfiguracije browsera...

ne mozes na referer da se oslanjas kao na 'sigurnu vrednost', jer em moze da ne bude set-ovana [av/fw/browser blokira], em moze i da se fake-uje [falsifikuje, podmetne referer kao da je sa tvog sajta, a zapravo uopste ne dolazi odatle]

[flash_back]

je*em mu miša evo kako kod mene izgleda taj a.php

HTML kôd:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>
<head>
	<title>Strana A</title>
</head>

<body>

referer: 

</body>
</html>

čudno, nema šta! izgleda da je mozda problemčić u firewallu, sad ću da proverim...

---
e, sad sam snimio post i da, firewall je bio u pitanju..

Citat:

Originalno napisao Peca

ne mozes na referer da se oslanjas kao na 'sigurnu vrednost', jer em moze da ne bude set-ovana [av/fw/browser blokira], em moze i da se fake-uje [falsifikuje, podmetne referer kao da je sa tvog sajta, a zapravo uopste ne dolazi odatle]

sta predlazes? mozda da nesto izvrtim preko sesije i kolacija? poznato mi je samo to da anketa nemoze biti validna ako je npr: $_SESSION['posete'] == 1 mozda mogu na tome nesto da poradim..

[flash_back]

opusteno, snasao sam se

Po meni jedino logicno resenje je bilo da imam nesto u mojoj stranici sto ne moze da se generise iz neke druge... i nista, stvar je simple a koristi - imam $cist_kod random string, njega stavljam u jedno sakriveno polje a sha1 tog random stringa stavljam u kolacic.. i resto je puko uporedjivanje

PHP kôd:

if(isset($_COOKIE['OverheatCookie'])) {
if (sha1($_POST['kod']) == $_COOKIE['OverheatCookie']) {
$sigurnost = "ok";
} else {
$sigurnost = "****";
}
} else {
$kolacici = "****";
}

$vreme_kolacica = 86400 + time();
$cist_kod = mt_rand();
$sigurnosni_kod = sha1($cist_kod);
setcookie(OverheatCookie, $sigurnosni_kod, $vreme_kolacica); 


ajd sad na anketu

[Peca]

a ako browser blokira i cookies?
jedino sigurno resenje je preko sesija...
mada, procenat onih koji blokiraju cookies je jako mali, pa sto bi se zamlacivao sa tim...

[Petar Marić]

A preko čega misliš da pratiš sesiju? SID možeš slati samo ili kroz cookie ili kroz URL, a ovo drugo ne savetujem - em ružno, em opasno.

[Peca]

ali ako korisiku ne radi cookie, jedino ti ostaje URL.
web aplikacija bi sama trebala da izvali da li korisniku radi cookie ili ne...