-
11. Data: 2004-11-15 06:11:06
Temat: Re: Pomysłowy student :-)
Od: Łukasz Cielecki <m...@p...onet.pl>
Marcin napisał(a):
>>HTTP_REFERER, mistrzu. Widać od razu.
>
> Przyznaje, ze o tym zapomnialem, ale:
> Pierwsza zasada. Nie ufac niczemu co przesyla klient.
> Wszystko moze podrobic, zwlaszcza w tak prostym protokole
> jak http.
Oczywiście. Co więcej - pole Referer jest domyślnie czyszczone przez
wiele firewalli (np. Nortona).
Gość mógł jednak nie wiedzieć o istnieniu takiego pola, nie mieć
firewalla i w ten sposób wpadł. Jeśli bank monitoruje te pola to bardzo
dobrze o nim świadczy - przynajmniej wyłapie mniej rozgarniętych
przestępców.
Pozdrawiam!
-
12. Data: 2004-11-15 09:07:24
Temat: Re: Pomysłowy student :-)
Od: Samotnik <s...@s...eu.org>
<m...@p...onet.pl> napisal(a):
>>>HTTP_REFERER, mistrzu. Widać od razu.
>>
>> Przyznaje, ze o tym zapomnialem, ale:
>> Pierwsza zasada. Nie ufac niczemu co przesyla klient.
>> Wszystko moze podrobic, zwlaszcza w tak prostym protokole
>> jak http.
>
> Oczywiście. Co więcej - pole Referer jest domyślnie czyszczone przez
> wiele firewalli (np. Nortona).
Naprawdę? Jakoś mi się nie chce wierzyć, zeby firewall miał czas na
poprawianie pakietów. To jakiś kompletnie zepsuty firewall w takim razie, bo
takie działanie jest niedopuszczalne. Wiele serwisów opiera się na
refererach.
--
Samotnik
www.zagle.org.pl - rejsy morskie
-
13. Data: 2004-11-15 18:20:17
Temat: Re: Pomysłowy student :-)
Od: Łukasz Cielecki <m...@p...onet.pl>
Samotnik napisał(a):
>>Oczywiście. Co więcej - pole Referer jest domyślnie czyszczone przez
>>wiele firewalli (np. Nortona).
>
>
> Naprawdę?
Naprawdę.
> Jakoś mi się nie chce wierzyć, zeby firewall miał czas na
> poprawianie pakietów. To jakiś kompletnie zepsuty firewall w takim razie, bo
> takie działanie jest niedopuszczalne. Wiele serwisów opiera się na
> refererach.
W takich przypadkach należy zdezaktywować Nortona - taka jest niestety
prawda. Głownie takie wały są z serwisami, które udostępniają jakieś
pliki (typowy komunikat: "Please do not leech!"). Większość serwisów
opiera się jednak na sesjach "trzymanych" poprzez cookie lub url.
Pozdrawiam!