DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > (X)HTML, JavaScript, DHTML, XML, CSS
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

(X)HTML, JavaScript, DHTML, XML, CSS Client scripting tehnologije, Dynamic HTML, Cascading Stylesheets, XML i standardi

Odgovori
 
Alati teme Način prikaza
Staro 28. 12. 2006.   #1
kodi
133t
Master
 
Avatar kodi
 
Datum učlanjenja: 08.01.2006
Lokacija: Beograd
Poruke: 714
Hvala: 16
37 "Hvala" u 28 poruka
kodi is on a distinguished road
Pošaljite ICQ poruku za kodi
Default ajax & security

ovako, imam jednu skriptu gde postoji klasicno glasanje. znaci user odabere vote na skali od 1-10 klikne submit i to je to ...njegov glas ide u bazu..ajax automatski updatuje average score... vote button se disable-uje.. sve radi ok

medjutim zanima me zastita. tj u mom slucaju samo registrovani useri mogu da glasaju. Za sada sam to resio tako sto sa JS proveravam da li postoji cookie, a u php skripti proveravam referer (da li poziv dolazi sa stranice, ili neko spolja pokusava da pozove stranicu i fejkuje vote)

kao vi resavate to u vasim aplikacijama?
kako proveravate da li je user ulogovan pre nego sto mu dozvolite da uradi nesto sa JS/ajax ???
__________________
kodi je offline   Odgovorite uz citat
Staro 28. 12. 2006.   #2
MorenoArdohain
Knowledge base
Wrote a book
 
Avatar MorenoArdohain
 
Datum učlanjenja: 16.06.2005
Lokacija: Novi Sad
Poruke: 1.437
Hvala: 37
131 "Hvala" u 82 poruka
MorenoArdohain će postati "faca" uskoroMorenoArdohain će postati "faca" uskoro
Default

A sto ne stavis u tu php skriptu da proverava cookie?
__________________
Năo quero mais seguir um só caminho
MorenoArdohain je offline   Odgovorite uz citat
Staro 28. 12. 2006.   #3
zextra
Boris
Grand Master
 
Avatar zextra
 
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
zextra is on a distinguished roadzextra is on a distinguished road
Default

Provera referrera je vrlo prividna zastita, bolje se fokusiraj na ovo sto Moreno kaze. Proveravaj da li je korisnik ulogovan (kao sto to inace radis), i u slucaju da nije, printaj neki nefunkcionalan javascript kod, koji se, naravno, pod normalnim okolnostima nikad nece izvrsavati.
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams
zextra je offline   Odgovorite uz citat
Staro 28. 12. 2006.   #4
noviKorisnik
Dejan Katašić
Wrote a book
 
Avatar noviKorisnik
 
Datum učlanjenja: 10.06.2005
Lokacija: Novi Sad
Poruke: 1.017
Hvala: 129
86 "Hvala" u 43 poruka
noviKorisnik će postati "faca" uskoro
Default

Security je uvek stvar serverske strane.
noviKorisnik je offline   Odgovorite uz citat
Staro 28. 12. 2006.   #5
dee
Domagoj Horvat
Expert
 
Avatar dee
 
Datum učlanjenja: 24.07.2006
Lokacija: Zagreb
Poruke: 502
Hvala: 22
10 "Hvala" u 8 poruka
dee is on a distinguished road
Pošaljite ICQ poruku za dee
Default

Citat:
Originalno napisao zextra
Provera referrera je vrlo prividna zastita, bolje se fokusiraj na ovo sto Moreno kaze. Proveravaj da li je korisnik ulogovan (kao sto to inace radis), i u slucaju da nije, printaj neki nefunkcionalan javascript kod, koji se, naravno, pod normalnim okolnostima nikad nece izvrsavati.

zasto nefunkcionalan javascript kod? ima li neki razlog za to?

inace, nemam iskustva sa ajaxom; upravo se spremam slagati prvi sajt gdje cu ga upotrijebiti, ali mi se ne cini nista posebno sa stajalista sigurnosti. ono zlatno staro pravilo -> ne vjeruj klijentu, provjeri sve na serveru (ne na klijentu). i u skladu s tim daj rezultat.
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo
dee je offline   Odgovorite uz citat
Staro 29. 12. 2006.   #6
kodi
133t
Master
 
Avatar kodi
 
Datum učlanjenja: 08.01.2006
Lokacija: Beograd
Poruke: 714
Hvala: 16
37 "Hvala" u 28 poruka
kodi is on a distinguished road
Pošaljite ICQ poruku za kodi
Default

Citat:
Originalno napisao MorenoArdohain
A sto ne stavis u tu php skriptu da proverava cookie?
za sada sam resio ovako: provera cookia u php i JS i uporedjivanje ta dva + referer ...
valjda ce biti dovoljno majku mu
__________________
kodi je offline   Odgovorite uz citat
Staro 29. 12. 2006.   #7
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

a sto ne proveravas kao sto proveravas inace usere (kad kazes da imas registrovane korisnike pretpostavljam da nekako proveravas da su registrovani, neki login pa onda pratis session ili tako nesto?). Znaci isto kao sto proveris da li je neko ulogovan kad mu prikazujes neku njegovu "users-only" stranu, potpuno isto tako to radis i iz ajaxa, nema apsolutno nikakve razlike u logici kojom radis proveru...
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 29. 12. 2006.   #8
zextra
Boris
Grand Master
 
Avatar zextra
 
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
zextra is on a distinguished roadzextra is on a distinguished road
Default

Citat:
Originalno napisao dee
zasto nefunkcionalan javascript kod? ima li neki razlog za to?

inace, nemam iskustva sa ajaxom; upravo se spremam slagati prvi sajt gdje cu ga upotrijebiti, ali mi se ne cini nista posebno sa stajalista sigurnosti. ono zlatno staro pravilo -> ne vjeruj klijentu, provjeri sve na serveru (ne na klijentu). i u skladu s tim daj rezultat.
Da ne zalazim u detalje moguce implementacije - recimo samo da ako si ulogovan, i posaljes request koji bi ti inace vratio kod koji radi nesto konkretno, u slucaju da nisi ulogovan, sasvim je logicno da ni taj kod koji dobijes ne treba da radi nesto konkretno, zar ne?
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams
zextra je offline   Odgovorite uz citat
Staro 29. 12. 2006.   #9
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default

@kodi

Dobio si odgovore, dakle klasicno proveravanje usera i swichovanje koda.

Dodatno sta treba da proverevas je da li ti je user prosledio validnu varijablu (u zavisnosti od implementacije skripte moze se desiti da ti posalje neku varijablu u zahtevu koja moze dovesti do XSS ili SQL injectiona).

I na kraju nevezano toliko za pitanje ali opet moze da koristi: race condition.
Ivan je offline   Odgovorite uz citat
Staro 29. 12. 2006.   #10
dee
Domagoj Horvat
Expert
 
Avatar dee
 
Datum učlanjenja: 24.07.2006
Lokacija: Zagreb
Poruke: 502
Hvala: 22
10 "Hvala" u 8 poruka
dee is on a distinguished road
Pošaljite ICQ poruku za dee
Default

Citat:
Originalno napisao zextra
Da ne zalazim u detalje moguce implementacije - recimo samo da ako si ulogovan, i posaljes request koji bi ti inace vratio kod koji radi nesto konkretno, u slucaju da nisi ulogovan, sasvim je logicno da ni taj kod koji dobijes ne treba da radi nesto konkretno, zar ne?
ma jasno, nego nisam shvatio sto bi vratio ikakav kod uopce? sto ne jednostavno:

PHP kôd:
echo "nije ti dano da vidis."
?
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo
dee je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
DPT Security Day Ivan IT događaji 30 09. 04. 2011. 13:11
PHP Security Info Ivan PHP 0 10. 11. 2006. 17:18
Security audit Ivan Poslovne ponude i zapošljavanje 41 13. 09. 2006. 11:15
Ajax Mistakes a.k.a kad ne treba da koristite Ajax nixa Planiranje i usability 7 13. 02. 2006. 17:20


Vreme je GMT +2. Trenutno vreme je 11:15.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.