טופס נשלח באמת מהעמוד??

[Daniel]

ציטוט:

נכתב במקור על ידי nitsanbn

למה, עם טוקנים אתה יכול למנוע את רוב הניסיונות של C/XSRF שזה למעשה הקטע של ביצוע POST או GET מעמודים אחרים או טאבים אחרים

אם אני ארצה מדף קיים לשנות דברים מסויימים -
אני אשתמש עכשיו ב-firebug (או אעשה בדיוק את אותו הדבר באמצעות javascript: document.get.....Id(...).maxLength = 100000000000; void 0;

אם מישהו מאוד ירצה הוא יוכל לעבור כל אימות בצד לקוח.

ואם אני ארצה לשלוח מדף אחר -
אני בעזרת IFRAME (ל-AJAX עלול להיות Security Limitations), אשיג את ה-TOKEN בטופס, ואדאג לשלוח אותו למקום המתאים.


אי אפשר לחסום את זה.

[intercooler3819]

אי אפשר זה קטילה כללית - כי את הכל אי אפשר לחסום...

אבל פתרון כללי זה TOKEN-ים

[AlmogBaku]

בואו נדבר ט'כלס- רמת אבטחה של בנקים:
יש להם SSL עם התעודה הכי יקרה שיש+טוקנים שמוקנים בלה בלה ואני עדיין מתערב שאם קבוצה של 100 האקרים עושים על בנק אמבוש..
אבל אתם יודעים מה? לבנק לא אכפת. למה?
א. יש להם תעודת SSL יקרה, ואם לא קלטתם התעודה הזו היא ביטוח. והביטוח הזה יכנס באמאמא של ההאקרים
ב. הם אחראים ומחזיקים שרתי גיבוי וטכנאים למקרי חירום
ג. יש להם גדודים של עורכי דין


אבל.. אתה לא בנק. אין סיבה לנקוט ביותר מSSL קפצ'ה וטוקנים.
וכשתהיה מתכנת של בנק אל תתייעץ פה.


אני חושב שקיבלתם תשובה מספקת, חלאס לריב על כל דבר. מאסטרT, מי שרוצה ייעוץ מקצועי מאוד שלא יפנה פה, מהסיבה הפשוטה שזה לא מקצועי מצידו להתייעץ בפורום הזה. אתה צריך לתת תשובה קצרה וקולעת ולהסביר, לא לחפור. אני גם ככה בספק אם חצי מהאנשים שקוראים את זה מבינים בכלל מה זה קפצ'ה וSSL וטוקנים.

[Daniel]

ציטוט:

נכתב במקור על ידי Baku

אני חושב שקיבלתם תשובה מספקת, חלאס לריב על כל דבר. מאסטרT, מי שרוצה ייעוץ מקצועי מאוד שלא יפנה פה, מהסיבה הפשוטה שזה לא מקצועי מצידו להתייעץ בפורום הזה. אתה צריך לתת תשובה קצרה וקולעת ולהסביר, לא לחפור. אני גם ככה בספק אם חצי מהאנשים שקוראים את זה מבינים בכלל מה זה קפצ'ה וSSL וטוקנים.

לא כל שאלה צריך לענות תשובה כן/לא/captcha/token.


יש הבדל גדול בין "לחפור ו...", לבין גישה שמישהו עלול לצאת איתה מהנושא הזה - "יש לי X, Y, ו-Z - והמערכת שלי חסינה".
וכמו שאמרת - גם אני בספק אם חצי מהאנשים שיקראו את האשכול יבינו שגם אם הם יעשו את הדברים שצויינו כאן - הם עדיין, לא יהיו 100% בטוחים.

ומי שלא מבין - יפתח נושא או יגיב וישאל מה זה. כשמישהו שואל שאלה "איך עושים XYZ ב-PHP?", אתה לא תעשה הקדמה לתשובה של "מה זה PHP" כי יש סיכוי מסויים שמי שיכנס לנושא לא ידע מה זה.


הוא אמר שאם זה ישלח מעמוד חיצוני זה עלול לגרום לבעיות - אז אל תגיד "ssl, token, captcha" - כי מישהו עלול להסיק שכן - זהו הפתרון שימנע את הכל.


מן הסתם שהוא לא עכשיו מתכנת כאן אתר של בנק ומתייעץ איתנו - אבל יש principles שלפחות - ברמה התיאורטית - צריך לדעת למה ואיך וכמה, ולא סתם "תעשה ככה - מה זה משנה".

[intercooler3819]

ציטוט:

נכתב במקור על ידי MasterT

לא כל שאלה צריך לענות תשובה כן/לא/captcha/token.


יש הבדל גדול בין "לחפור ו...", לבין גישה שמישהו עלול לצאת איתה מהנושא הזה - "יש לי X, Y, ו-Z - והמערכת שלי חסינה".
וכמו שאמרת - גם אני בספק אם חצי מהאנשים שיקראו את האשכול יבינו שגם אם הם יעשו את הדברים שצויינו כאן - הם עדיין, לא יהיו 100% בטוחים.

ומי שלא מבין - יפתח נושא או יגיב וישאל מה זה. כשמישהו שואל שאלה "איך עושים XYZ ב-PHP?", אתה לא תעשה הקדמה לתשובה של "מה זה PHP" כי יש סיכוי מסויים שמי שיכנס לנושא לא ידע מה זה.


הוא אמר שאם זה ישלח מעמוד חיצוני זה עלול לגרום לבעיות - אז אל תגיד "ssl, token, captcha" - כי מישהו עלול להסיק שכן - זהו הפתרון שימנע את הכל.


מן הסתם שהוא לא עכשיו מתכנת כאן אתר של בנק ומתייעץ איתנו - אבל יש principles שלפחות - ברמה התיאורטית - צריך לדעת למה ואיך וכמה, ולא סתם "תעשה ככה - מה זה משנה".

עקרונות

[nbiwy]

ציטוט:

נכתב במקור על ידי dabi

אבל עדיין במידה והטופס ישלחו מעמוד חיצוני ולא באמת מהעמוד שבאתר שלי זה יכול לגרום לבעיות
תודה

החשיבה שלך צריכה להיות שונה.
אתה צריך להגיע למצב שאם ישלחו את הטופס ממקום חיצוני, זה לא יגרום לבעיות....