|
Действия ...
Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
29.08.2005, 18:28
|
|||
|---|---|---|---|
HTTP refferer |
|||
|
#18+
Привет! Кто знает как можно браузеру програмными средствами запретить заполнение заголовка HTTP refferer (или подменить его). А то мы используем cookieless-режим для разруливания сессий и всякий может, посмотрев refferer в логах, зайти на страницы сайта пока сессия ещё жива без всякой авторизации, что есть огромнейшей дырой в безопасности :-( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2005, 19:04
|
|||
|---|---|---|---|
HTTP refferer |
|||
|
#18+
Кхм... Не думаю, что cookieless-режим представляет какую-то серьезную проблему безопасности. Противостоять перехвату данных по пути к серверу можно использованием HTTPS. Кто может посмотреть referer в логах (на сервере?). Если человек может посмотреть логи, то это само по себе уже огромнейшая дыра :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2005, 19:34
|
|||
|---|---|---|---|
HTTP refferer |
|||
|
#18+
У меня страницы где есть ссылкина документы на других серверах. Когда я перехожу по этим ссылкам, то браузер (гад) автоматом заполняет reference у заголовка HTTP. Если тот сайт, на который я перешёл со своего браузера, ведёт логи посещений, то тамошний админ сразу может получить адрес из моего браузера с номером открытой сессии и зайти по нему минуя авторизацию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2005, 21:19
|
|||
|---|---|---|---|
HTTP refferer |
|||
|
#18+
Можно делать так: <a href="test.aspx" onclick="window.open('test.aspx','_self',''); return false;"> Можно еще сделать проверку на валидность сессии только в том случае, если предыдущий referrer был с той же сессией или со страницы авторизации. Правда заголовки подделать не проблема, но все таки хоть какая-то защита от дурака :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2005, 21:21
|
|||
|---|---|---|---|
HTTP refferer |
|||
|
#18+
Правда я проверил - увы, в Mozilla такой финт ушами не работает :(. Продолжает выдавать referer. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.08.2005, 11:18
|
|||
|---|---|---|---|
HTTP refferer |
|||
|
#18+
Так отож. Мы тоже в ИЕ проверяли и в мозиле. Скорее это глюк ИЕ что он реферера не выдаёт :-( Думаем парсить все ссылки и перенаправлять их через нашу страницу, которая будет делать Redirect. Но может всё-таки есть какие-то спец. тэги-директивы, которые запрещают браузеру referer заполнять? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.08.2005, 15:50
|
|||
|---|---|---|---|
|
|||
HTTP refferer |
|||
|
#18+
А может проще referer в логи не писать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.08.2005, 15:55
|
|||
|---|---|---|---|
HTTP refferer |
|||
|
#18+
Тут речь идет о логах стороннего сайта, на который кто-то переходит по ссылке с этого. Т.е. в referer в этом случае попадает валидный идентификатор сессии, который может использовать человек, имеющий доступ к этим логам. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=18&tablet=1&tid=1393667]: |
0ms |
get settings: |
6ms |
get forum list: |
19ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
31ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
51ms |
get tp. blocked users: |
1ms |
| others: | 235ms |
| total: | 360ms |
| 0 / 0 |
