- CSRF на търсачка
12345
WT форуми -> PHP MySQL ASP.NET -> CSRF на търсачка
Създайте нова тема Напишете отговор 
Автор Съобщение
pix3l
Нов
Нов

Регистриран на: 08/10/2016 4:31 pm

Support: 4
Bonus: 8
Мнения: 134
Мнение 10/04/2018 8:44 pm      Отговорете с цитат


Кой е казал, че CSRF работи само с GET форми?
Съгласи се, че да караш потребител да попълва CAPTCHA всеки път, когато има потенциален риск от CSRF е най-малоумното нещо, което някой може да направи... тук вече говорим за UX.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
dakata__92
Активен
Активен

Регистриран на: 02/08/2011 9:24 pm

Support: 119
Bonus: 231
Мнения: 3066
Мнение 10/04/2018 9:25 pm      Отговорете с цитат


pix3l написа:
Кой е казал, че CSRF работи само с GET форми?
Съгласи се, че да караш потребител да попълва CAPTCHA всеки път, когато има потенциален риск от CSRF е най-малоумното нещо, което някой може да направи... тук вече говорим за UX.

Цял ден обяснявам за GET и POST заявки, а ти чак сега ми задаваш този реторичен за мен въпрос. Толкова си и прочел какво съм написал. CAPTCHA само на входната точка при логване в акаунта, за да знаеш, че пред системата ти се е легитимирал човек, не бот. От там нататък се процедира по съвсем друг начини, но честно да ти кажа, не си заслужава ти да обяснявам какви. За теб аз не знам какво е CSRF, а за мен, ти изобщо не приемаш чуждото мнение за вярно.
dakata__92 написа:
pix3l написа:
Виж, препоръчвам ти да прочетеш какво е CSRF и после пак да прегледаш кода, който постнах.
CSRF защитата по никакъв начин не те пази от спамери - факт! Пази те от нещо къде-къде по-сериозно. Very Happy

Тц, тц, тццц... Какво ли се занимавам. Изпрати ми линк, да ми смениш паролата, че явно GET формите са на мода и всеки втори пише глупости, защото чете глупости. Направи ми хипервръзка харакири (http://web-tourist.net/forum/account.php?delete=true) или по-добре ти го направи (http://web-tourist.net/forum/account.php?new_password=abc123). CSRF в пълната си красота... Не ти трябва XSS, SQLi или BruteForce, просто му прати линк който да отвори без да иска и да си смени паролата с поставената от теб, след което да се логнеш и да му смениш профилната снимка с такава на магаре. Добре, че token ще защити потребителя от това сам да извърши по невнимание действие с акаунта си позволено от кода на системата, подтикнато от злонамерен потребител. Arrow Idea

Вместо постоянното генериране на някакви ключове колко по-елегантно решение е да попиташ потребителя за потвърждение на заявката? Все пак ако е толкова важна за него то не пречи да се съгласи и да я потвърди. Това е за вътрешни страници за някои важни функциии примерно свързани с акаунта или нещо около него. Така потребителя ще бъде информиран, че нещо става, и може да вземе мерки, а не просто да му се изпише - "Паролата Ви беше сменена успешно". Генерирането на ключове е решение за някои частни случаи и не мога да го успоря, но никой не пожела да се замисли дали са правилното решение на проблема в който са попаднали. После се започва с едно питане защо приложението зарежда бавно, ами тук малко, там малко усложнения и накрая пренаписване на ново...
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
pro12
Турист
Турист

Регистриран на: 10/01/2013 5:08 pm

Support: 0
Bonus: 0
Мнения: 444
Мнение 10/04/2018 9:40 pm      Отговорете с цитат


Благодаря ви отказах се да слагам CSRF!
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
pix3l
Нов
Нов

Регистриран на: 08/10/2016 4:31 pm

Support: 4
Bonus: 8
Мнения: 134
Мнение 10/04/2018 9:44 pm      Отговорете с цитат


Явно не усещаш сърказма... Very Happy
Смятам да си дам почивка вече. Това не беше мнението ми, а техническо решение на определен проблем.
Ако мислиш, че ти казвам как да си пишеш приложенията - разбрал си ме погрешно.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
dakata__92
Активен
Активен

Регистриран на: 02/08/2011 9:24 pm

Support: 119
Bonus: 231
Мнения: 3066
Мнение 10/04/2018 10:05 pm      Отговорете с цитат


pix3l написа:
Явно не усещаш сърказма... Very Happy
Смятам да си дам почивка вече. Това не беше мнението ми, а техническо решение на определен проблем.
Ако мислиш, че ти казвам как да си пишеш приложенията - разбрал си ме погрешно.

Извинявай, че явно съм те разбрал погрешно!
Ти мен изобщо не се и опита да ме разбереш... Mr. Green
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
dakata__92
Активен
Активен

Регистриран на: 02/08/2011 9:24 pm

Support: 119
Bonus: 231
Мнения: 3066
Мнение 10/04/2018 10:14 pm      Отговорете с цитат


pro12 написа:
Благодаря ви отказах се да слагам CSRF!

Виж сега, много хора ще ти кажат, че ти е нужно да генерираш ключове, в някои случаи аз също бих използвал този вид защита, но исках да ти покажа, че освен това решение има и други и не е нужно да използваш нещо, което в по-голямата си част е пречка за време. Потребителят при всеки рефреш вика класът пък той връща резултат, пък се сетват сесии и прочие. Може просто след натискане на Изпълни да попиташ потребителя - абе приятел сигурен ли си, че искаш, и тук на потвърждението може да използваш такъв генериран ключ (защото вече няма да е излишен и ще се зареди защото ще е нужен) след това директно да изпълняваш. Мисълта ми е, че да защита е но не е правилно да е във формата и при всеки рефреш да се зарежда а да не се използва. По-добре на потвърждението да го поставяш и да централизираш системата си за оптимално ползване, а не навсякъде и постоянно. По-добре от 5 форми 3 да искат потвърждение, но потвърждението да има такъв ключ, отколкото от 5 форми 3 постоянно да генерират този ключ без дори да е наложаща защитата защото не се ползват и не обработват заявки. В частни случаи този ключ спестява много главоболия относно някои непредвидени неща, но не е цялото решение на проблема ти и изобщо не трябва само на него да разчиташ.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
pro12
Турист
Турист

Регистриран на: 10/01/2013 5:08 pm

Support: 0
Bonus: 0
Мнения: 444
Мнение 11/04/2018 1:50 pm      Отговорете с цитат


dakata__92 написа:
pro12 написа:
Благодаря ви отказах се да слагам CSRF!

Виж сега, много хора ще ти кажат, че ти е нужно да генерираш ключове, в някои случаи аз също бих използвал този вид защита, но исках да ти покажа, че освен това решение има и други и не е нужно да използваш нещо, което в по-голямата си част е пречка за време. Потребителят при всеки рефреш вика класът пък той връща резултат, пък се сетват сесии и прочие. Може просто след натискане на Изпълни да попиташ потребителя - абе приятел сигурен ли си, че искаш, и тук на потвърждението може да използваш такъв генериран ключ (защото вече няма да е излишен и ще се зареди защото ще е нужен) след това директно да изпълняваш. Мисълта ми е, че да защита е но не е правилно да е във формата и при всеки рефреш да се зарежда а да не се използва. По-добре на потвърждението да го поставяш и да централизираш системата си за оптимално ползване, а не навсякъде и постоянно. По-добре от 5 форми 3 да искат потвърждение, но потвърждението да има такъв ключ, отколкото от 5 форми 3 постоянно да генерират този ключ без дори да е наложаща защитата защото не се ползват и не обработват заявки. В частни случаи този ключ спестява много главоболия относно някои непредвидени неща, но не е цялото решение на проблема ти и изобщо не трябва само на него да разчиташ.

На мен идеята ми беше да генерирам ключ за да се защитавам от фалшиви заявки на хора а не на ботове.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
dakata__92
Активен
Активен

Регистриран на: 02/08/2011 9:24 pm

Support: 119
Bonus: 231
Мнения: 3066
Мнение 11/04/2018 2:00 pm      Отговорете с цитат


Какво визираш под фалшиви заявки и най-вече фалшиви заявки от хора? Ако ми обясниш какво имаш предвид, то може би можем да ти дадем насоки за защита.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
pix3l
Нов
Нов

Регистриран на: 08/10/2016 4:31 pm

Support: 4
Bonus: 8
Мнения: 134
Мнение 11/04/2018 3:23 pm      Отговорете с цитат


Най-вероятно иска да ограничи заявките... поне така си мисля аз. Very Happy
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
Fakeheal
Support
Support

Регистриран на: 17/04/2010 8:37 am

Support: 348
Bonus: 694
Мнения: 2636
Мнение 11/04/2018 3:27 pm      Отговорете с цитат


Приложенията се пишат, за да бъдат използвани.

...май.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
pix3l
Нов
Нов

Регистриран на: 08/10/2016 4:31 pm

Support: 4
Bonus: 8
Мнения: 134
Мнение 11/04/2018 3:43 pm      Отговорете с цитат


Има една платформа за форуми, Invision Community, която ограничава търсенията до 1 търсене през 30 секунди.
Помага, ако си на евтин хостинг и трябва да пестиш.
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
pro12
Турист
Турист

Регистриран на: 10/01/2013 5:08 pm

Support: 0
Bonus: 0
Мнения: 444
Мнение 11/04/2018 4:01 pm      Отговорете с цитат


На няколко места в интернет прочетох, че е добре да се защитим от фалшиви заявки и имаше пример пращат линк на Иван тои го отваря и му зарежда празна стр със скрита форма и така Иван добавя коментар.
От какви атаки да си пазя приложенията? sql injection, XSS
Върнете се в началото
Вижте профила на потребителя Изпратете лично съобщение
Покажи мнения от преди:    
Създайте нова тема   Напишете отговор    web-tourist.net Форуми -> PHP MySQL ASP.NET Часовете са според зоната GMT + 2 Часа
12345
Страница 4 от 5


 
Идете на:  
Не Можете да пускате нови теми
Не Можете да отговаряте на темите
Не Можете да променяте съобщенията си
Не Можете да изтривате съобщенията си
Не Можете да гласувате в анкети