-
Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: porneL <n...@p...net>
Newsgroups: pl.comp.www
Subject: Re: Bezpieczenstwo - formularz logowania, pamietanie hasla, xss, csrf
[dlugie]
Date: Tue, 25 May 2010 22:05:38 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 32
Message-ID: <o...@a...local>
References: <htbqci$6de$1@inews.gazeta.pl>
NNTP-Posting-Host: 87.115.147.215
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed; delsp=yes
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1274821544 27024 87.115.147.215 (25 May 2010 21:05:44 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Tue, 25 May 2010 21:05:44 +0000 (UTC)
X-User: pornelspam
User-Agent: Opera Mail/10.54 (MacIntel)
Xref: news-archive.icm.edu.pl pl.comp.www:395943
[ ukryj nagłówki ]On Sun, 23 May 2010 18:58:43 +0100, Stefan <s...@c...wp.pl> wrote:
>
> Uzytkownicy chca tej funkcji. Z tego co sie orientuje to sa dwa wyjscia:
>
> - iframe zamiast div z trescia ladowana ajaxem,
> - przechowywanie tych formularzy w pierwszym DOMie wysylanym do
> przegladarki.
>
> Pierwszego nie chce - jest niezgodne z XHTML i ogolnie ble.
Ble (szczególnie cofanie UI do ery modalnych aplikacji jest ble), ale
mylisz XML ze Strict DOCTYPE. http://pornel.net/xhtml
> A druga metoda otwiera wektor ataku CSRF. W koncu formularz (wypelniony
> przez przegladarke) caly czas siedzi gdzies w DOMie i moze byc odczytany
> przez wstawiony javascript.
To, jak jest serwowany formularz nie ma wiele wspólnego z CSRF. Ważne
jest, jak jest odbierany.
Może chodzi ci o atak XSS? Jak masz luki XSS, to i tak masz przerąbane, bo
atakujący może ci też popodmieniać standardowe funkcje przeglądarki,
podstawić fałszywy formularz, dłubać we wszystkich ajaxach, ramkach z tej
samej domeny, itd.
Wstaw normalny formularz, a w nim jakiś niezgadywalny token i będzie ok.
--
http://pornel.net
this.author = new Geek("porneL");
Następne wpisy z tego wątku
Najnowsze wątki z tej grupy
- Perfidne ataki krakerów z KRLD na skrypciarzy JS i Pajton
- Do sądu trafił pozew zbiorowy przeciw Google'owi - oskarżenie o praktyki monopolistyczne na rynku reklamy internetowej
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
Najnowsze wątki
- 2025-07-13 Fałszywe alerty
- 2025-07-12 dlaczego gadacie z tym debilem
- 2025-07-13 Unia Europejska przygotowuje nowy podatek
- 2025-07-13 Unia Europejska przygotowuje nowy podatek
- 2025-07-12 Warszawa => PC Hardware Expert / Specjalista PC <=
- 2025-07-12 Warszawa => Account Manager - Usługi rekrutacyjne <=
- 2025-07-12 Warszawa => Administrator IT <=
- 2025-07-12 Warszawa => IT Administrator <=
- 2025-07-12 Warszawa => Asystent/tka ds. Administracji <=
- 2025-07-12 Warszawa => Specjalista/stka ds. Organizacji <=
- 2025-07-12 Warszawa => MENA New Business Manager <=
- 2025-07-12 Gdynia => Controlling systems Consultant <=
- 2025-07-12 Warszawa => Developer Microsoft Dynamics 365 Finance & Operations (D36
- 2025-07-12 Warszawa => Programista Microsoft Dynamics 365 Finance & Operations (D
- 2025-07-12 Warszawa => Dyrektor IT <=