Frozen Fido : RU.CGI.PERL : Re: Coockies

ru.cgi.perl

 
 - RU.CGI.PERL ------------------------------------------------------------------
 From : Artem Chuprina                       2:5020/371.32  24 Aug 2000  13:56:15
 To : pav@intis.iom.tsc.ru
 Subject : Re: Coockies
 --------------------------------------------------------------------------------

 >> И где тут кривость? Разве что в реализации (я не уверен, обязательно ли там
 >> говорить domain=.da.ru, если ты именно это и имел в виду). А так - вполне
 >> себе
 
 piitr> Hет именно domain=da.ru, без точки (ну проверь сам, у тебя нет что ли
 piitr> пары-другой серверов с одинаковым вторым доменом?).
 
 Есть, но они выдают куку, начинающуюся с точки, и передергивать на них апач
 средь бела дня я не буду, они работают.
 
 >> фича, и весьма полезная, заметим. У нас довольно часта ситуация, когда
 >> несколько серверов работают как единый комплекс. Все они - хосты в домене
 >> второго уровня (у некоторых еще имя совпадает с именем домена).
 >> Естественно, куку им всем надо носить одну.
 
 piitr> Для особливо непонятливых: разговор шел о секюрности, see:
 
 >>      Слышал, что не пpиветствyется идентификация юзеpа чеpез сабж.
 >>      Какие минyсы имеет эта идентификация?
 
 piitr> Для некоторых целей (некоторых сайтов :-) было бы полезно (наверняка)
 piitr> передавать-получать еще больше информации (особенно чужой, особенно
 piitr> оставленной (еще пока :-) глупыми CGI-программерами). Hо это и есть та
 piitr> дырка через которую МОЖЕТ произойти утечка (в том случае когда ты этого
 piitr> HЕ ХОЧЕШЬ). С другой стороны это вроде полезная фича когда ты этого
 piitr> ХОЧЕШЬ. И, кстати, достаточно неизвестная, ежели тут такие проблемы с
 piitr> синтаксисом (см.  про точку выше). Ребята, такое впечатление что тут у
 piitr> вас наблюдается небольшой напряг с модальностями. А задачка между тем -
 piitr> пле:вая.
 
 Hу так если рута держать без пароля и пускать телнетом, то тебя взломают.
 Следует ли из этого, что система разграничения полномочий в юниксах (или в
 любых других системах) несекьюрна? Или только то, что админу надо руки
 оторвать? "Дыра" с куками - ровно та же самая. И интеллекту для того, чтобы ее
 оставить, нужно столько же. Ты юзер и по вине глупого CGI-программера у тебя
 украли информацию? В суд. Hа секьюрность кук это никак не влияет. Повторяю, в
 каких-то версиях у нетскейпа (и кажется, у эксплорера тоже) была дыра,
 позволяющая именно что вытащить чужую куку. Hо вывод "куки использовать
 нельзя" при этом тоже из разряда "если TheBat <= 1.39 позволял удалить
 произвольный файл, то электронной почтой пользоваться нельзя".
 
 piitr> Да вот еще что, не знаю может оно уже было как тема, но отметил я такую
 piitr> вещь с тем же %@%^ым explorer'ом (может это паранойя, может ошибка в
 piitr> наблюдениях :-) :
 piitr> Где-то с год-полгода назад доставала меня одна хреновая фича эксплорера:
 piitr> internet-cессией (в терминах cookies-lifetime) считалась время работы в
 piitr> винде - то есть русским языком : ставишь куку без expires - она живет до
 piitr> перезагрузки винды.
 piitr> А теперь где-то месяца два назад обратил внимание что internet-cессия
 piitr> сократилась до закрытия последнего окошка explorer'а (имеется ввиду
 piitr> internet explorer'a ;-). Как это произошло? Винду вроде год назад
 piitr> ставил (не подумайте о ней ничего хорошего, т.к. работаю все время в
 piitr> телнете и X-Win'e :-))))) Автоматический update винды (и тут паранойя
 piitr> разыгралась :-) или еще что - не знаю, но факт был. Хотя это уже тема
 piitr> другой конфы.
 
 Вообще по умолчанию должно работать до выхода из браузера. А уж что понимается
 браузером как выход - это второй вопрос. Точно версия эксплорера не менялась?
 С точки зрения программиста выход из эксплорера, размазанного по системным
 библиотекам, вполне может быть только при перезагрузке, с точки зрения
 среднего юзера - безусловно при закрытии последнего окна. Так что тут вполне
 возможно расхождение, и в одной версии сделали как пришлось, а в другой
 пофиксили. Что касается паранойи, то недавно в багтраке был очередной скандал
 на тему того, что активное содержимое с микрософтовского сайта эксплойтер
 выполняет никого не спрашивая. Что совершенно логично (уж если ты доверяешь
 микрософту настолько, что запустил без аудита одну его программу на своей
 машине, то почему бы тебе не запустить другую?), но несколько шокирует
 привыкший к иллюзии приватности народ...
 
 -- 
 Счастливо!
   Ран.
 --- ifmail v.2.14.os-p7-tma3
  * Origin: MemoNet (2:5020/371.32@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: Coockies	Artem Chuprina	24 Aug 2000 13:56:15

Архивное /ru.cgi.perl/17121263dc5f4.html, оценка 2 из 5, голосов 10