|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Dmitry Radishev 2:5015/42 20 Nov 2001 20:49:12
To : Dmitry Leonov
Subject : Подстановка
--------------------------------------------------------------------------------
Tuesday November 20 2001 14:49, Dmitry Leonov wrote to Dmitry Radishev:
DR>> Hавскидку понятно, что, например, referer будет отличаться, но с
DR>> другой стороны - вебмастера не настолько параноики, чтобы
DR>> проверять реферер в скриптах.
DL> Hу почему же... Лично я как раз всюда за это агитирую в качестве
DL> первой линии обороны. Только проблема в том, что никто не мешает
DL> подделать и referer - хоть скриптом на перле, хоть с помошью @guard'а
Именно! Первая линия обороны - проверять переданные скрипту параметры. Ибо
если кому-то действительно нужно - параметры он передаст и реферер поделает. А
вот грамотно сделанную проверку валидности параметров обойти уже заметно
сложнее.
DL> и т.п. В качестве второй линии - генерить форму скриптом и запоминать
DL> ip/кидать куку/генерить случайное hidden-поле, и проверять это дело
DL> при постинге. Очень способствует против, например, публикации
DL> заполненной формы где-нибудь в ньюсах и прочего автоматизированного
DL> флуда (это, увы, не паранойя, а печальный опыт). Примеры кода -
DL> разумеется, в третьем издании "Атаки на Internet" :)))) Hемного общих
DL> слов на эту тему есть и во втором.
Защита от флуда (и прочих недеструктивных но анноящих действий) - отдельная
тема. К счастью, оно не всегда столь же актуально, как и защита от взлома.
All the best //DiBR [TEAM ВСЕ МАСТДАЙ] [шестая базовая]
[http://dibr.nnov.ru]
--- [LPT] LaMerZ PrOfeSsIoNaL TeaM /member/
* Origin: relay моего relay'я - не мой relay (2:5015/42)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Подстановка |
Dmitry Radishev |
20 Nov 2001 20:49:12 |
 Подстановка |
Dmitry Leonov |
21 Nov 2001 21:23:44 |
|
|
