טופס נשלח באמת מהעמוד?? - הוסטס

dabi · 14-11-09, 18:39

יש לי טופס שיש בו כל מיני אפשרויות בחירה
כמובן שכל אפשרות נבדקת לפי תקינות קלט לפני שהיא ניכנסת למסד וכו'
אבל עדיין במידה והטופס ישלחו מעמוד חיצוני ולא באמת מהעמוד שבאתר שלי זה יכול לגרום לבעיות
יש דרך לאמת את זה? דרך שעובדת ב100 אחוז?
ובכלל איזה עוד דרכים צריך לעשות בטפסים?(מנגנון הצפה כבר יש) על מנת למנוע פרצות מיותרות

תודה

SniR-S · 14-11-09, 21:52

ברגע שעבדת נכון עם הקוד, וביצעת אימות מול השרת
ולא רק מול הלקוח, אין לך ממה לדאוג ולחשוש.
בעיקרון הקוד שלך בעיקר (יותר נכון, קודם כל) אמור לסנן מול השרת.
ורק לאחר מכן, אתה יכול להוסיף צד-לקוח .
הכוונה שלי, שזה לא משנה אם האימות בקוד יהיה קודם בסדר
שהוא דבר ראשון בודק את הנתונים בצד לקוח, ואחר כך בצד שרת
כי אתה יכול לעשות את הסידור של הקוד איך שבא לך ולפי הטעם, הראש והנוחות שלך.
אבל העיקר, הכי חשוב הוא שהנתונים בסופו של דבר יבדקו ע"י הקוד אל מול השרת שלך.
אם זה הנתונים שמועברים, נבדקים בצד שרת, אין לך מה לדאוג ואין לך חשש.

נריה · 15-11-09, 01:26

ציטוט:

נכתב במקור על ידי Snir Shamka

ברגע שעבדת נכון עם הקוד, וביצעת אימות מול השרת
ולא רק מול הלקוח, אין לך ממה לדאוג ולחשוש.
בעיקרון הקוד שלך בעיקר (יותר נכון, קודם כל) אמור לסנן מול השרת.
ורק לאחר מכן, אתה יכול להוסיף צד-לקוח .
הכוונה שלי, שזה לא משנה אם האימות בקוד יהיה קודם בסדר
שהוא דבר ראשון בודק את הנתונים בצד לקוח, ואחר כך בצד שרת
כי אתה יכול לעשות את הסידור של הקוד איך שבא לך ולפי הטעם, הראש והנוחות שלך.
אבל העיקר, הכי חשוב הוא שהנתונים בסופו של דבר יבדקו ע"י הקוד אל מול השרת שלך.
אם זה הנתונים שמועברים, נבדקים בצד שרת, אין לך מה לדאוג ואין לך חשש.

עדיין,עדיף לבדוק זאת על מנת לחסוך צרות מיותרות.
אפשרי דרך סישן לבדוק זאת.
בהצלחה

Shay Ben Moshe · 15-11-09, 17:13

בעקרון, אי אפשר להיות בטוח. מה שאני ממליץ לך זה לבדוק HTTPֹ_REFER למרות שאפשר לערוך את זה, אבל זה מורכב. אני ממליץ לעשות כמו שנאמר מעלי שימוש בSESSION/COOKIE לצורך אימות.

intercooler3819 · 15-11-09, 17:52

token up your system

AlmogBaku · 17-11-09, 13:58

**Daniel** · 17-11-09, 22:08

גם tokens וגם SSL לא "יעלימו" את הסיכוי לשליחה מעמוד שונה.

אי אפשר למנוע את זה.
פשוט בלתי אפשרי.

אין סיבה שתצטרך למנוע ממישהו לעשות את זה...

intercooler3819 · 17-11-09, 22:47

למה, עם טוקנים אתה יכול למנוע את רוב הניסיונות של C/XSRF שזה למעשה הקטע של ביצוע POST או GET מעמודים אחרים או טאבים אחרים

AlmogBaku · 17-11-09, 23:08

token+captcha צריכים להגן על רוב הבעיות בטפסים ציבוריים, לרוב קפצ'ה יספיק.

**OrPol** · 18-11-09, 07:26

ציטוט:

נכתב במקור על ידי Baku

token+captcha צריכים להגן על רוב הבעיות בטפסים ציבוריים, לרוב קפצ'ה יספיק.

בדיקה וסינון של כל מה שנכנס + captcha יספיקו. מה כבר אפשר לעשות?

14-11-09, 18:39	# 1
dabi חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 1,767	טופס נשלח באמת מהעמוד?? יש לי טופס שיש בו כל מיני אפשרויות בחירה כמובן שכל אפשרות נבדקת לפי תקינות קלט לפני שהיא ניכנסת למסד וכו' אבל עדיין במידה והטופס ישלחו מעמוד חיצוני ולא באמת מהעמוד שבאתר שלי זה יכול לגרום לבעיות יש דרך לאמת את זה? דרך שעובדת ב100 אחוז? ובכלל איזה עוד דרכים צריך לעשות בטפסים?(מנגנון הצפה כבר יש) על מנת למנוע פרצות מיותרות תודה

15-11-09, 17:13	# 4
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	בעקרון, אי אפשר להיות בטוח. מה שאני ממליץ לך זה לבדוק HTTPֹ_REFER למרות שאפשר לערוך את זה, אבל זה מורכב. אני ממליץ לעשות כמו שנאמר מעלי שימוש בSESSION/COOKIE לצורך אימות. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

15-11-09, 17:52	# 5
intercooler3819 חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	token up your system __________________

17-11-09, 13:58	# 6
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	ssl?

17-11-09, 22:47	# 8
intercooler3819 חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2008 הודעות: 1,056	למה, עם טוקנים אתה יכול למנוע את רוב הניסיונות של C/XSRF שזה למעשה הקטע של ביצוע POST או GET מעמודים אחרים או טאבים אחרים __________________


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

14-11-09, 21:52	# 2
SniR-S חבר מתקדם מיני פרופיל תאריך הצטרפות: Aug 2008 הודעות: 546	ברגע שעבדת נכון עם הקוד, וביצעת אימות מול השרת ולא רק מול הלקוח, אין לך ממה לדאוג ולחשוש. בעיקרון הקוד שלך בעיקר (יותר נכון, קודם כל) אמור לסנן מול השרת. ורק לאחר מכן, אתה יכול להוסיף צד-לקוח . הכוונה שלי, שזה לא משנה אם האימות בקוד יהיה קודם בסדר שהוא דבר ראשון בודק את הנתונים בצד לקוח, ואחר כך בצד שרת כי אתה יכול לעשות את הסידור של הקוד איך שבא לך ולפי הטעם, הראש והנוחות שלך. אבל העיקר, הכי חשוב הוא שהנתונים בסופו של דבר יבדקו ע"י הקוד אל מול השרת שלך. אם זה הנתונים שמועברים, נבדקים בצד שרת, אין לך מה לדאוג ואין לך חשש.

17-11-09, 22:08	# 7
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	גם tokens וגם SSL לא "יעלימו" את הסיכוי לשליחה מעמוד שונה. אי אפשר למנוע את זה. פשוט בלתי אפשרי. אין סיבה שתצטרך למנוע ממישהו לעשות את זה...

17-11-09, 23:08	# 9
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	token+captcha צריכים להגן על רוב הבעיות בטפסים ציבוריים, לרוב קפצ'ה יספיק.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)