Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
Привет! Кто знает как можно браузеру програмными средствами запретить заполнение заголовка HTTP refferer (или подменить его). А то мы используем cookieless-режим для разруливания сессий и всякий может, посмотрев refferer в логах, зайти на страницы сайта пока сессия ещё жива без всякой авторизации, что есть огромнейшей дырой в безопасности :-( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.08.2005, 18:28 |
|
||
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
Кхм... Не думаю, что cookieless-режим представляет какую-то серьезную проблему безопасности. Противостоять перехвату данных по пути к серверу можно использованием HTTPS. Кто может посмотреть referer в логах (на сервере?). Если человек может посмотреть логи, то это само по себе уже огромнейшая дыра :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.08.2005, 19:04 |
|
||
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
У меня страницы где есть ссылкина документы на других серверах. Когда я перехожу по этим ссылкам, то браузер (гад) автоматом заполняет reference у заголовка HTTP. Если тот сайт, на который я перешёл со своего браузера, ведёт логи посещений, то тамошний админ сразу может получить адрес из моего браузера с номером открытой сессии и зайти по нему минуя авторизацию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.08.2005, 19:34 |
|
||
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
Можно делать так: <a href="test.aspx" onclick="window.open('test.aspx','_self',''); return false;"> Можно еще сделать проверку на валидность сессии только в том случае, если предыдущий referrer был с той же сессией или со страницы авторизации. Правда заголовки подделать не проблема, но все таки хоть какая-то защита от дурака :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.08.2005, 21:19 |
|
||
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
Правда я проверил - увы, в Mozilla такой финт ушами не работает :(. Продолжает выдавать referer. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.08.2005, 21:21 |
|
||
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
Так отож. Мы тоже в ИЕ проверяли и в мозиле. Скорее это глюк ИЕ что он реферера не выдаёт :-( Думаем парсить все ссылки и перенаправлять их через нашу страницу, которая будет делать Redirect. Но может всё-таки есть какие-то спец. тэги-директивы, которые запрещают браузеру referer заполнять? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.08.2005, 11:18 |
|
||
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
А может проще referer в логи не писать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2005, 15:50 |
|
||
|
HTTP refferer
|
|||
|---|---|---|---|
|
#18+
Тут речь идет о логах стороннего сайта, на который кто-то переходит по ссылке с этого. Т.е. в referer в этом случае попадает валидный идентификатор сессии, который может использовать человек, имеющий доступ к этим логам. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.08.2005, 15:55 |
|
||
|
|
start [/forum/topic.php?fid=18&msg=33243813&tid=1393667]: |
0ms |
get settings: |
11ms |
get forum list: |
18ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
36ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
63ms |
get tp. blocked users: |
2ms |
| others: | 260ms |
| total: | 413ms |
| 0 / 0 |
