|
|
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
есть необходимость делать ajax запросы из js. При желании можно посмотреть в код страницы , вычислить нужный запрос и выполнить на другой странице (предполагаем, что CORS для злоумышленника не проблема) как планируется делать - при формировании страницы на сервере формировать некий sid (заносить его в базу и в hidden input) и его передавать как параметр в сервис. Однако вопрос - сколько жить такой sid должен? До перезагрузки страницы - не совсем безопасно (или это паранойя?) Перекидывать юзера на страницу входа после таймаута? Еще как-то? Что посоветует сообщество? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.11.2018, 14:04 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Что это значит? Можно вообще-то нажать F12, отрейсить запросы и повторить их в консоли. Судя по вопросу: waszkiewiczвычислить нужный запрос и выполнить на другой странице тебе непонятны принципы веба. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.11.2018, 15:47 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Агнец за бортом, я возможно неверно сформулировал мысль заходит некто весьма пытливый на страничку, нажимает F12 (к примеру) , ему любезно весь код консоль разработчика показывает (и разметку и скрипты). Рано или поздно он вычислит , к примеру вот такое (для jQuery) $.post("blahblahService" ..... } пытливый ум захочет все проверить и пытаться нагибать тупо пробуя слать посты на blahblahService. думалось при загрузке страницы с сервера возвращать токен в скрытое поле, а при обращении к сервису этот токен прибивать. Но - пользователь не уходит со странички, ему нужно еще чего-то делать. Вот в чем затык на данный момент ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.11.2018, 18:03 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
waszkiewiczдумалось при загрузке страницы с сервера возвращать токен в скрытое поле, а при обращении к сервису этот токен прибивать. Но - пользователь не уходит со странички, ему нужно еще чего-то делать. Вот в чем затык на данный момент он тебе верно сказал - выучи вопрос "аутентификация" и "авторизация веб приложений". Потом задашь вопрос. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.11.2018, 18:22 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Petro123 выучи вопрос "аутентификация" и "авторизация веб приложений". +100 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.11.2018, 20:54 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Petro123waszkiewiczдумалось при загрузке страницы с сервера возвращать токен в скрытое поле, а при обращении к сервису этот токен прибивать. Но - пользователь не уходит со странички, ему нужно еще чего-то делать. Вот в чем затык на данный момент он тебе верно сказал - выучи вопрос "аутентификация" и "авторизация веб приложений". Потом задашь вопрос. Хинт - веб-приложение - это не то , что выполняется в браузере. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.11.2018, 21:02 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
waszkiewiczесть необходимость делать ajax запросы из js. При желании можно посмотреть в код страницы , вычислить нужный запрос и выполнить на другой странице Вы походу начинаете открывать для себя такие вещи, как CSRF (Сross Site Request Forgery - «межсайтовая подделка запроса», также известна как CSRF). распространённым способом защиты является механизм, при котором с каждой сессией пользователя ассоциируется дополнительный секретный уникальный ключ, предназначенный для выполнения запросов. Секретный ключ не должен передаваться в открытом виде, например, для POST запросов ключ следует передавать в теле запроса, а не в адресе страницы. Браузер пользователя посылает этот ключ в числе параметров каждого запроса, и перед выполнением каких-либо действий сервер проверяет этот ключ. Ну и по аббревиатуре легко находятся примеры, допустип для ASP.NET Core: Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.11.2018, 10:57 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Агнец за бортомЧто это значит? Можно вообще-то нажать F12, отрейсить запросы и повторить их в консоли. Судя по вопросу: waszkiewiczвычислить нужный запрос и выполнить на другой странице тебе непонятны принципы веба. повторно ты может и отправишь, но на серве ничего не сработает. при повторной отправке ключ уже будет удален и операция не пройдёт. чел дело спрашивает ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.11.2018, 15:06 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Дмитрий Мухwaszkiewiczесть необходимость делать ajax запросы из js. При желании можно посмотреть в код страницы , вычислить нужный запрос и выполнить на другой странице Вы походу начинаете открывать для себя такие вещи, как CSRF (Сross Site Request Forgery - «межсайтовая подделка запроса», также известна как CSRF). распространённым способом защиты является механизм, при котором с каждой сессией пользователя ассоциируется дополнительный секретный уникальный ключ, предназначенный для выполнения запросов. Секретный ключ не должен передаваться в открытом виде, например, для POST запросов ключ следует передавать в теле запроса, а не в адресе страницы. Браузер пользователя посылает этот ключ в числе параметров каждого запроса, и перед выполнением каких-либо действий сервер проверяет этот ключ. Ну и по аббревиатуре легко находятся примеры, допустип для ASP.NET Core: Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core . вот момент: браузер посылает ключ ... но ведь злоумышленнику никто не помешает открыть страницу, найти этот ключ (ведь он в коде страницы прописан или в куках) и с его помощью выполнить запрещенную операцию 1 раз торасу на заметку: вообще для таких случаев на стороне сервера блокируются все запрещенные действия. К примеру, если у пользователя ограниченные права и он с этим ключом попытается изменить недоступную для него информацию, то на сервере эти его операции должны блокироваться ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.11.2018, 15:11 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Luchokвот момент: браузер посылает ключ ... но ведь злоумышленнику никто не помешает открыть страницу, найти этот ключ (ведь он в коде страницы прописан или в куках) Злоумышленник откроет страницу и внезапно увидит чужие куки? Чьи же куки он увидит, кого из тысячи посетителей сайта? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.11.2018, 18:42 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
skyANALuchokвот момент: браузер посылает ключ ... но ведь злоумышленнику никто не помешает открыть страницу, найти этот ключ (ведь он в коде страницы прописан или в куках) Злоумышленник откроет страницу и внезапно увидит чужие куки? Чьи же куки он увидит, кого из тысячи посетителей сайта? свои он увидит. че вот ты тупишь? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 09:26 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
waszkiewiczкак планируется делать - при формировании страницы на сервере формировать некий sid (заносить его в базу и в hidden input) и его передавать как параметр в сервис. Однако вопрос - сколько жить такой sid должен? До перезагрузки страницы - не совсем безопасно (или это паранойя?) Перекидывать юзера на страницу входа после таймаута?есть такой термин как id сессии, есть параметр как время сессии. у меня сделано так, что если чел переходит на другой сайт (т.е. покидает данную страницу) происходит установка времени жизни сессии 5 сек (если при покидании данной страницы происходит переход на другую страницу этого сайта - время жизни сессии устанавливается в 5 минут) . Через 5 сек сессия закрывается и на клиента передается команда перейти на страницу авторизации. и тут хоть что делай - серверу пофиг - нет авторизации - гуляй лесом... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 09:41 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
LuchokskyANAпропущено... Злоумышленник откроет страницу и внезапно увидит чужие куки? Чьи же куки он увидит, кого из тысячи посетителей сайта? свои он увидит. че вот ты тупишь? И что это ему даст? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 10:05 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Сам себе денег переведет! Какой злостный злоумышленник ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 10:08 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
skyANALuchokпропущено... свои он увидит. че вот ты тупишь? И что это ему даст? отправит данные не предусмотренные системой для его доступа, например, данные с sql-инекцией ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 11:41 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Luchokотправит данные не предусмотренные системой для его доступаих примут? Может тему сменить на "Безопасный веб сервер"? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 11:59 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
LuchokskyANAпропущено... И что это ему даст? отправит данные не предусмотренные системой для его доступа, например, данные с sql-инекцией И зачем ему для этого какие-то куки смотреть? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 12:04 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Luchok, waszkiewiczвычислить нужный запрос и выполнить на другой странице (предполагаем, что CORS для злоумышленника не проблема) Другая страница и CORS говорит нам, что злоумышленник встроил запрос на другой сайт. То есть ты со своими куками заходишь на сайт злоумышленника и в фоне от твоего имени выполняется некий скрипт. К примеру от твоего имени переводятся деньги куда-то. Это называется CSRF. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 12:06 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Но давайте конечно пофантазируем про sql-иньекции. Можем вообще все виды атак перечислить, что знаем ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 12:08 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
Дмитрий МухНо давайте конечно пофантазируем про sql-иньекции.в большинстве субд с ними можно очень просто бороться, они опасны если только прогер дуб. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 13:46 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
вадяДмитрий МухНо давайте конечно пофантазируем про sql-иньекции.в большинстве субд с ними можно очень просто бороться, они опасны если только прогер дуб. мы в курсе, что ты используешь хранимые процедуры ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 14:51 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
skyANAмы в курсе, что ты используешь хранимые процедуры можно и без них. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 15:22 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
вадяskyANAмы в курсе, что ты используешь хранимые процедуры можно и без них. да, можно и без них ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 07.11.2018, 17:19 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
LuchokskyANAпропущено... И что это ему даст? отправит данные не предусмотренные системой для его доступа, например, данные с sql-инекциейВсе данные, полученные от клиента, должны проверяться на стороне сервера. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.11.2018, 07:38 |
|
||
|
безопасные ajax - как провернуть?
|
|||
|---|---|---|---|
|
#18+
BarloneLuchokпропущено... отправит данные не предусмотренные системой для его доступа, например, данные с sql-инекциейВсе данные, полученные от клиента, должны проверяться на стороне сервера. вопрос что проверяться? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.11.2018, 09:56 |
|
||
|
|
start [/forum/topic.php?fid=22&fpage=22&tid=1443983]: |
0ms |
get settings: |
10ms |
get forum list: |
10ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
55ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
58ms |
get tp. blocked users: |
2ms |
| others: | 13ms |
| total: | 168ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
