-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!wsisiz.edu.pl!newsfeed2.atman.pl!newsfe
ed.atman.pl!.POSTED!not-for-mail
From: Marek <p...@s...com>
Newsgroups: pl.comp.www
Subject: Ajax - kwestie bezpieczeństwa
Date: Mon, 17 Dec 2012 16:04:47 +0100
Organization: ATMAN - ATM S.A.
Lines: 17
Message-ID: <kancal$fhc$1@node2.news.atman.pl>
NNTP-Posting-Host: 89-69-209-185.dynamic.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: node2.news.atman.pl 1355756693 15916 89.69.209.185 (17 Dec 2012 15:04:53
GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Mon, 17 Dec 2012 15:04:53 +0000 (UTC)
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:17.0) Gecko/17.0 Thunderbird/17.0
Xref: news-archive.icm.edu.pl pl.comp.www:401673
[ ukryj nagłówki ]Witam,
Mam pewien kłopot z zastosowaniem tej technologii przy operacjach
wymagających bezpieczeństwa. Hipotetyczny przykład:
- mamy 2 tabele w bazie: grupy transakcji i transakcje
- wchodzimy na stronkę i dostajemy listing transakcji z określonej grupy
- Ajax ma za zadanie wyedytować jeden z rekordów transakcyjnych
- aby otworzyć edytor rekordu o ID 100 musimy przekazać np. POSTem z
poziomu Ajaxa, że operacja dotyczy ID 100
No i tu powstaje problem. Mianowicie ktoś może majstrować na poziomie
przeglądarki i spowodować, ze Ajax poprosi o ID 101. Pal sześć jeśli
jest to rekord należący do tej samej grupy transakcji. Ale w ten sposób
ktoś może się dostać do edycji rekordu z niedozwolonej grupy. Jak temu
przeciwdziałać? Przekazywać ID grupy transakcji? Bez sensu, bo i ten
numer można sfałszować łatwo w/w sposobem.
Następne wpisy z tego wątku
- 17.12.12 20:49 Tomek Kańka
- 18.12.12 23:19 Marek
- 18.12.12 23:20 Marek
- 18.12.12 23:48 Tomek Kańka
- 19.12.12 12:18 Marek
- 19.12.12 21:51 Tomek Kańka
- 19.12.12 23:35 Marek
- 20.12.12 17:24 Tomek Kańka
- 20.12.12 21:13 Marek
- 20.12.12 23:12 Tomek Kańka
- 21.12.12 11:06 Marek
- 21.12.12 11:10 Marek
- 21.12.12 12:15 Tomasz Sowa
- 21.12.12 19:38 Marek
- 22.12.12 13:42 Tomasz Sowa
Najnowsze wątki z tej grupy
- Jakie znacie działające serwery grup dyskusyjnych?
- is it live this group at news.icm.edu.pl
- php, linki z nazwami a $_GET, SEO
- www polityka pl captcha
- dyktatura brudnego palucha
- www.znanylekarz.pl
- Czy pytanie o sczytywanie stron programami/skryptami to tu?
- Grupy webdevowe
- Jak wydrukować stronę?
- IIS, kilka witryn
- linki <a href="/strona.php"> (ze slashami)
- co rozszerza stronę??
- responsywny akapit <p>
- Czy istnieje jakiś emulator przeglądarek pod Mac'a?
- taka sama konfiguracja dla localhost i produkcji
Najnowsze wątki
- 2025-03-08 Cięcie wysokich tui
- 2025-03-08 Środa Wielkopolska => SAP FI/CO Konsultant wewnętrzny <=
- 2025-03-08 Prawo "gminne"
- 2025-03-08 Warszawa => Senior Recruiter <=
- 2025-03-08 Warszawa => Key Account Manager IT <=
- 2025-03-08 Najszybciej ładujące się samochody elektryczne
- 2025-03-07 AION przejety
- 2025-03-07 Warszawa => Data Engineer (Tech Leader) <=
- 2025-03-07 Gliwice => Business Development Manager - Dział Sieci i Bezpieczeńst
- 2025-03-07 Warszawa => System Architect (background deweloperski w Java) <=
- 2025-03-07 Gliwice => Business Development Manager - Network and Network Security
- 2025-03-07 Chiny-Kraków => Senior PHP Symfony Developer <=
- 2025-03-07 Gliwice => IT Expert (Network Systems area) <=
- 2025-03-07 Chiny-Kraków => Backend Developer (Node + Java) <=
- 2025-03-07 Warszawa => Architekt rozwiązań (doświadczenie w obszarze Java, AWS